Die Sicherheitsfirma Zimperium hat einen funktionierenden Exploit für die von ihr Ende Juli entdeckten Stagefright-Lücken veröffentlicht. Mit ihm können Hersteller testen, ob ihre Geräte für die Schwachstellen in Androids Multimedia-Bibliothek anfällig sind, und gegebenenfalls ein Update entwickeln. Anwendern steht dazu die kostenlose App „Stagefright Detector“ zur Verfügung.
Der jetzt verfügbare Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Er wurde auf einem nicht näher spezifizierten Nexus-Gerät unter Android 4.0.4 getestet. Dabei seien teilweise jedoch mehrere Anläufe nötig gewesen. Geräte mit Android 5.0 oder höher seien aufgrund neuer Schutzmaßnahmen weniger anfällig für diese Lücke.
Zimperium zufolge muss ein Video per MMS an ein Gerät gesendet werden, um die Stagefright-Schwachstellen auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.
Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Der jetzt von Zimperium bereitgestellte Exploit erzeugt solch ein mit Schadcode versehenes MP4-Video mittels eines Python-Skripts.
Eine Folge nach Bekanntwerden der Anfälligkeiten war auch, dass die Deutsche Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Daraufhin versorgte Google die Hersteller von Android-Smartphones umgehend mit Patches. Dennoch sind bis heute noch nicht alle Geräte vollständig vor den Stagefright-Lücken geschützt. Beispielsweise sind die Samsung-Smartphones Galaxy S6 und S6 Edge auch mit der jüngsten Firmware-Version FXXU2COH2 vom 12. August weiterhin für zwei der acht bekannten Schwachstellen anfällig.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…