Stagefright 2.0

Neue Schwachstelle betrifft alle Android-Geräte

05.10.2015
Die Entdecker von Stagefright haben eine weitere Schwachstelle ausfindig gemacht, die alle Smartphones und Tablets mit dem Betriebssystem betrifft. Über manipulierte MP3-Dateien lassen sich über die neue Sicherheitslücke theoretisch Android-Geräte kapern. Google hat bereits einen Patch angekündigt.

Noch längst nicht alle Smartphones und Tablets mit dem Android-Betriebssystem haben einen Sicherheitspatch für die im Juli bekannt gewordene Stagefright-Sicherheitslücke erhalten, die meisten Geräte im Umlauf werden wohl noch ihren gesamten Lebenszyklus für einen eventuellen Angriff auf das Medien-Framework anfällig bleiben. Die Entdecker von Stagefright, die Sicherheitsexperten von Zimperium, haben unterdessen weitere schwerwiegende Schwachstellen in den Android-Bibliotheken libutils und libstagefright ausfindig gemacht. Das Unternehmen hat die neue Lücke konsequent Stagefright 2.0 getauft.

Erstere ist unter anderem für die Verarbeitung von MP3- und MP4-Mediendateien zuständig und ist laut Zimperium in fast jedem Android-Gerät angreifbar, von Android 1.0 bis hin zu den aktuellen Versionen. Über manipulierte Metadaten in Musik- oder Videodateien in diesem Format könnten Angreifer ihren Schadcode auf dem Smartphone oder Tablet ausführen und damit Dateien auslesen oder gar die Kontrolle über Mikrofon und Kamera erlangen. Eine so präparierte MP3- oder MP4-Datei könnte beispielsweise in einer Webseite oder in einer App eingebettet sein und muss nach Aussage der Experten noch nicht einmal explizit ausgeführt, sondern nur im Hintergrund vom System verarbeitet werden.

Um auch auf Geräten mit Android 5.0 Lollipop und aktueller über diesem Wege das Smartphone kapern zu können ist der Exploit über libstagefright nötig, nähere Details dazu veröffentlichte Zimperium allerdings nicht.

Anders als bei Stagefright sieht Zimperium von der Veröffentlichung eines Exploits der Schwachstelle zunächst ab. Laut dem Eintrag auf dem Firmenblog wurde Stagefright 2.0 bereits vor der Bekanntgabe an Google weitergereicht, ein entsprechender Sicherheitspatch soll in der kommenden Woche veröffentlicht werden. Nach der ersten Stagefright-Sicherheitslücke kündigte Google monatliche Sicherheits-Updates für das Android-Betriebssystem an, die vom Unternehmen selbst aber nur für die Nexus-Smartphones und -Tablets herausgebracht werden - andere Hersteller müssen den Patch selbst in ihr abgewandeltes Betriebssystem integrieren und an die Kunden ausliefern.

powered by AreaMobile

Zur Startseite