Samsung hat mit der Auslieferung aktualisierter Firmwares für seine Smartphones und Tablets begonnen, die die letzte noch offene Stagefright-Schwachstelle CVE-2015 3864 schließen. Hierzulande erreicht seit einigen Tagen Note-4-Anwender ein entsprechendes Update mit der Firmware-Kennung 910FXXU1COI3.
Bereits Anfang des Monats hatte der Konzern Sicherheitsupdates ausgeliefert, die fünf der sechs Stagefright-Schwachstellen beseitigten. Welche Geräte als nächstes mit dem Update versorgt werden, ist nicht bekannt. Auch nicht, welche Geräte überhaupt eine Aktualisierung erhalten. Aus amerikanischen Provider-Foren ist jedoch ersichtlich, dass selbst für das 2012 erschienene Galaxy S3 ein Patch existiert.
Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, kann ein präpariertes Video, das per MMS an ein Gerät gesendet wird, die Sicherheitslücken auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts ist sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.
Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.
Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.
Damit sich Hersteller mit der Auslieferung eines entsprechendes Patches beeilen, hatte Zimperium Anfang September einen Exploit für die Lücke veröffentlicht. Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt. Der veröffentlichte Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Diese hatten allerdings die Hersteller wie Samsung bereits zum Zeitpunkt der Veröffentlichung geschlossen.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…