Abo
  • Services:
Anzeige
Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Sicherheitslücke: Stagefright-Quellcode jetzt öffentlich, Updates noch nicht

Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Die Stagefright-Entdecker legen nach: Sie haben einen Exploit zur Ausnutzung der Sicherheitslücke veröffentlicht. Die meisten Gerätehersteller haben die Lücke bislang nicht gepatcht.

Anzeige

Seit dem 9. September ist der Schadcode verfügbar, der zur Ausführung der Stagefright-Sicherheitslücke benötigt wird. Die Sicherheitsforscher von Zimperium erhöhen damit den Druck auf Google und die Hersteller von Android-Geräten, wirksame Sicherheitsupdates zu veröffentlichen.

Zimperium hat ein Python-Skript veröffentlicht, das eine MP4-Datei erstellt, die die stsc-Sicherheitslücke (Nummer CVE-2015-1538 #1) ausnutzt. Dadurch können Angreifer nach Angaben der Forscher Fotos mit dem Gerät der Nutzer schießen und das Mikrofon abhören, ohne weitere Schwachstellen auszunutzen. Die Forscher haben den Exploit nach eigenen Angaben bislang nur auf einem Nexus-Gerät mit der Android-Version 4.0.4 getestet, Nutzer mit Android in der Version 5.0 oder höher sollen nicht betroffen sein.

Google hat einige Lücken gepatcht

Google hat bereits einige Patches entwickelt, um die Sicherheitslücken zu mitigieren. Updates für Hangout und die Messenger-App blockieren die Ausführung von Schadcode. Doch mit Malware präparierte Webseiten können die meisten Android-Geräte nach wie vor angreifen. Einige Sicherheitsupdates von Google waren zudem fehlerhaft.

Die meisten Android-Nutzer profitieren von Googles Sicherheitsupdates aber ohnehin nur bei den Apps - Betriebssystemupdates liegen in der Verantwortung der Gerätehersteller. Da diese ihre Android-Versionen in der Regel stark anpassen, brauchen sie oft lange, um Sicherheitslücken zu stopfen. Als Sicherheitsmaßnahme hat die Telekom Anfang August angekündigt, den Empfang von MMS vorläufig zu blockieren, bis alle Lücken wirksam gepatcht sind.

Google, Samsung und LG wollen als Reaktion auf Stagefright nun monatliche Patchdays einführen, um Sicherheitslücken auch unabhängig von komplexen Betriebssystemupdates verteilen zu können. Golem.de hat die Hersteller nach einem konkreten Patchdatum gefragt - denn bislang sind viele Geräte nach wie vor verwundbar.

Mit dem Stagefright-Detektor das eigene Smartphone testen

Mit der App Stagefright-Detektor können Android-Nutzer selbst überprüfen, ob ihr Gerät angreifbar ist. Auf einem Galaxy Note 3 von Samsung mit den aktuellsten Updates werden aktuell fünf von sechs bekannten Lücken als angreifbar angezeigt.


eye home zur Startseite
litex 18. Sep 2015

Habe das Update gestern auch bekommen, alle Lücken sind geschlossen. Über die manuelle...

nille02 11. Sep 2015

Bei den älteren, ja, bei neueren nicht mehr. Dort bekommst du dann nur Rechte für die...

Bill Carson 11. Sep 2015

Mein Möhre ist schon gefixt, meine damalige Kaufentscheidung hat sich zum X-ten mal...

nille02 10. Sep 2015

An der Oberfläche müssen sie nicht mal was verändern. dennoch gibt es bei vielen Geräten...

nille02 10. Sep 2015

cve-2015-3828 ist beim MotoG auch noch offen.



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., Karlsruhe


Anzeige
Hardware-Angebote
  1. und Samsung Galaxy S7 edge, Galaxy S7 oder Galaxy Tab E gratis erhalten
  2. und Civilization VI gratis erhalten
  3. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  2. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  3. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  4. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  5. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen

  6. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  7. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  8. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  9. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  10. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

  1. Re: normale Schraubendreher...

    Nasreddin | 02:58

  2. Re: Ja ist denn heut schon Weihnachten?

    Moe479 | 02:58

  3. Re: Störung

    maverick1977 | 02:21

  4. Re: So langsam frage ich mich

    maverick1977 | 02:16

  5. Re: Welcher physikalische Effekt soll das sein ?

    johnsonmonsen | 01:53


  1. 18:02

  2. 16:46

  3. 16:39

  4. 16:14

  5. 15:40

  6. 15:04

  7. 15:00

  8. 14:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel