BERLIN/BONN (dpa-AFX) - Millionen Handys mit dem Betriebssystem Android
sind über mehrere Sicherheitslücken angreifbar für Hacker. Davor
warnte das Bundesamt für Sicherheit in der Informationstechnik am
Mittwoch. Die Lücken klaffen in der Multimedia-Schnittstelle
Stagefright. Damit lasse sich über eine Multimedia-Nachricht Schadcode
auf Handys platzieren, berichtete der Sicherheitsfachmann Joshua Drake.
Hacker könnten so Daten stehlen, Ton und Video aufnehmen oder auf
gespeicherte Fotos zugreifen.

    "Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm
auszuführen, das sie mit einer besonderen präparierten
Multimedia-Nachricht verschicken", schrieben die Sicherheitsforscher um
Drake auf dem Blog ihrer Firma Zimperium. "Diese Lücken sind sehr
gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden
können." Opfer müssten ein Video aus einer MMS mit Schadcode
beispielsweise nicht abspielen, sondern nur die Nachricht ansehen,
berichtete Drake dem US-Magazin "Forbes".

    Unter bestimmten Umständen würden Handybesitzer die manipulierte
Nachricht nicht einmal bemerken: Der Schadcode könne ausgeführt
werden, bevor die Benachrichtigung auf dem Display erscheint. Betroffen
seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2,
die 2010 herauskam, bis zur Version 4.1, die es seit Mitte 2012 gibt.

    Hacker könnten sich von der Multimedia-Software weiter auf das
Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die
jeweiligen Hersteller die Multimedia-Schnittstelle abgesteckt hätten,
oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen
könne.

    Google erklärte, die Sicherheitslücke sei "unter Laborbedingungen
auf älteren Android-Geräten identifiziert" worden. "Nach unserem
derzeitigen Wissensstand ist niemand davon betroffen", teilte das
Unternehmen mit. Das steht im krassen Widerspruch zu Aussagen von Drake,
der schätzt, dass Hunderte Millionen Geräte über die Lücke
angreifbar sind.

    Für die Millionen Besitzer von Android-Handys und -Tablets gibt es
kein zentrales Update, das sie vor der Lücke schützen würde. Google
schickte zwar ein Sicherheits-Update an die Hersteller von
Android-Geräten. Doch die Handybauer können selbst entscheiden, wie
sie Updates an ihre Kunden weitergeben. Einzig bei den den
Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche
gestopft werden. Der Hersteller HTC sagte Forbes, die Lücke solle in
den künftig veröffentlichten Geräten geschlossen werden.

    Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt
Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder
höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an
die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zur
erfragen"./jbn/DP/zb