Samsung schließt Stagefright-Lücke

Samsung hat mit der Auslieferung aktualisierter Firmwares für seine Smartphones und Tablets begonnen, die die letzte noch offene Stagefright-Schwachstelle CVE-2015 3864 schließen. Hierzulande erreicht seit einigen Tagen Note-4-Anwender ein entsprechendes Update mit der Firmware-Kennung 910FXXU1COI3.

Bereits Anfang des Monats hatte der Konzern Sicherheitsupdates ausgeliefert, die fünf der sechs Stagefright-Schwachstellen beseitigten. Welche Geräte als nächstes mit dem Update versorgt werden, ist nicht bekannt. Auch nicht, welche Geräte überhaupt eine Aktualisierung erhalten. Aus amerikanischen Provider-Foren ist jedoch ersichtlich, dass selbst für das 2012 erschienene Galaxy S3 ein Patch existiert.

Auch andere Hersteller haben damit begonnen, Updates für Geräte auszuliefern, die die Stagefright-Lücke komplett schließen. Hierzulande haben bereits das LG G3 und das G Flex 2 entsprechende Updates erhalten. In den USA ist angeblich auch das G4 mit einem Patch versorgt worden. Auch für neuere Sony- und HTC-Smartphones sind Aktualisierungen verfügbar.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, kann ein präpariertes Video, das per MMS an ein Gerät gesendet wird, die Sicherheitslücken auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts ist sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Damit sich Hersteller mit der Auslieferung eines entsprechendes Patches beeilen, hatte Zimperium Anfang September einen Exploit für die Lücke veröffentlicht. Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt. Der veröffentlichte Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Diese hatten allerdings die Hersteller wie Samsung bereits zum Zeitpunkt der Veröffentlichung geschlossen.