Die vor einem Jahr erstmals gesichtete Android-Sicherheitslücke Stagefright hat die Sicherheitslandschaft für Mobilgeräte nachhaltig verändert. Zu diesem Schluss kommt ihr Entdecker, dern Sicherheitsforscher Joshua Drake von Zimperium, im Gespräch mit eWeek. Nach seiner Zählung hat Google in den vergangenen zwölf Monaten 115 Patches für Lücken im Zusammenhang mit dem Android Media Server herausgegeben.
Während Drake auf das ursprüngliche Stagefright stieß, haben Kollegen später auf viele der verwandten Schwachstellen hingewiesen. Drake sieht das als Zeichen, dass Android Security Rewards – eine Ausweitung von Googles Prämienprogramm für Sicherheitslücken – funktioniert. Er selbst hat für Hinweise im Zusammenhang mit Stagefright rund 50.000 Dollar von Google erhalten – bei einer fürs erste Jahr von Google genannten Prämiensumme von 550.000 Dollar.
Stagefright und seine Nachwehen führten dazu, dass Google ein monatliches Patchprogramm einführte, in Kooperation mit einer ganzen Reihe führender Hardwarehersteller. Da aber dennoch längst nicht alle betroffenen Android-Geräte die bereitgestellten Patches erhalten, sondern oft nur einige wenige Spitzenmodelle, wird Stagefright nach Einschätzung von Drake auch weiter ausgenutzt.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
„Wir glauben, dass Schwachstellen vom Stagefright-Typ in der Vergangenheit und auch gegenwärtig für gezielte Angriffe genutzt werden“, sagt der Zimperium-Forscher. „Wie das bei gezielten Angriffen so ist, fällt die Erkennung aber schwer.“
Das ursprüngliche Stagefright konnte ausgenutzt werden, indem man ein Video per MMS an ein betroffenes Android-Gerät sandte. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen, informierte Zimperium damals. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.
Kurze Zeit später fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Die von Drake erwähnten weiteren 113 Lücken folgten.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…
ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…