Categories: Sicherheit

Stagefright-Bilanz: 115 Android-Patches innerhalb eines Jahres

Die vor einem Jahr erstmals gesichtete Android-Sicherheitslücke Stagefright hat die Sicherheitslandschaft für Mobilgeräte nachhaltig verändert. Zu diesem Schluss kommt ihr Entdecker, dern Sicherheitsforscher Joshua Drake von Zimperium, im Gespräch mit eWeek. Nach seiner Zählung hat Google in den vergangenen zwölf Monaten 115 Patches für Lücken im Zusammenhang mit dem Android Media Server herausgegeben.

Von diesen 115 Lücken nach dem Katalog für Common Vulnerabilities and Exposures, kurz CVE, steckten 49 direkt in libstagefright, 35 in libmedia und 31 in anderen Libraries, die libstagefright benötigt. Er habe Stagefright nicht als isolierte Einzellücke gesehen, die große Zahl an Problemen sei aber auch für ihn überraschend gewesen, erklärte Drake.

Während Drake auf das ursprüngliche Stagefright stieß, haben Kollegen später auf viele der verwandten Schwachstellen hingewiesen. Drake sieht das als Zeichen, dass Android Security Rewards – eine Ausweitung von Googles Prämienprogramm für Sicherheitslücken – funktioniert. Er selbst hat für Hinweise im Zusammenhang mit Stagefright rund 50.000 Dollar von Google erhalten – bei einer fürs erste Jahr von Google genannten Prämiensumme von 550.000 Dollar.

Stagefright und seine Nachwehen führten dazu, dass Google ein monatliches Patchprogramm einführte, in Kooperation mit einer ganzen Reihe führender Hardwarehersteller. Da aber dennoch längst nicht alle betroffenen Android-Geräte die bereitgestellten Patches erhalten, sondern oft nur einige wenige Spitzenmodelle, wird Stagefright nach Einschätzung von Drake auch weiter ausgenutzt.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

„Wir glauben, dass Schwachstellen vom Stagefright-Typ in der Vergangenheit und auch gegenwärtig für gezielte Angriffe genutzt werden“, sagt der Zimperium-Forscher. „Wie das bei gezielten Angriffen so ist, fällt die Erkennung aber schwer.“

Das ursprüngliche Stagefright konnte ausgenutzt werden, indem man ein Video per MMS an ein betroffenes Android-Gerät sandte. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen, informierte Zimperium damals. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.

Kurze Zeit später fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Die von Drake erwähnten weiteren 113 Lücken folgten.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Balkonkraftwerk mit Speicher: Lohnt sich die Investition wirklich?

Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…

16 Stunden ago

Kritische Sicherheitslücke in Microsoft Windows entdeckt

ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.

2 Tagen ago

Malware-Ranking: Trojaner AsyncRat in Deutschland auf dem Vormarsch

Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…

3 Tagen ago

Forscher entwickeln vernetzte Immersive-Lösungen

Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…

3 Tagen ago

Dritte Beta von Android 16 veröffentlicht

Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…

3 Tagen ago

Intel ernennt Lip-Bu Tan zum neuen CEO

Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…

3 Tagen ago