Categories: MobileSmartphone

Samsung schließt Stagefright-Lücke

Samsung hat mit der Auslieferung aktualisierter Firmwares für seine Smartphones und Tablets begonnen, die die letzte noch offene Stagefright-Schwachstelle CVE-2015 3864 schließen. Hierzulande erreicht seit einigen Tagen Note-4-Anwender ein entsprechendes Update mit der Firmware-Kennung 910FXXU1COI3.

Bereits Anfang des Monats hatte der Konzern Sicherheitsupdates ausgeliefert, die fünf der sechs Stagefright-Schwachstellen beseitigten. Welche Geräte als nächstes mit dem Update versorgt werden, ist nicht bekannt. Auch nicht, welche Geräte überhaupt eine Aktualisierung erhalten. Aus amerikanischen Provider-Foren ist jedoch ersichtlich, dass selbst für das 2012 erschienene Galaxy S3 ein Patch existiert.

Auch andere Hersteller haben damit begonnen, Updates für Geräte auszuliefern, die die Stagefright-Lücke komplett schließen. Hierzulande haben bereits das LG G3 und das G Flex 2 entsprechende Updates erhalten. In den USA ist angeblich auch das G4 mit einem Patch versorgt worden. Auch für neuere Sony- und HTC-Smartphones sind Aktualisierungen verfügbar.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, kann ein präpariertes Video, das per MMS an ein Gerät gesendet wird, die Sicherheitslücken auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts ist sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Damit sich Hersteller mit der Auslieferung eines entsprechendes Patches beeilen, hatte Zimperium Anfang September einen Exploit für die Lücke veröffentlicht. Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt. Der veröffentlichte Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Diese hatten allerdings die Hersteller wie Samsung bereits zum Zeitpunkt der Veröffentlichung geschlossen.

Mit der Stagefright Detector App können Anwender überprüfen, ob ihr Gerät anfällig für die Stagefright-Lücken ist. Die Entwickler der beliebtesten Android-Custom-Rom Cyanogen hatten die Schwachstellen bereits im August beseitigt (Screenshot: ZDNet.de).
HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago