Abo
  • Services:
Anzeige
Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt.
Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt. (Bild: Dsimic CC-BY-3.0)

Stagefright 2.0: Sicherheitslücke macht 1 Milliarde Android-Geräte angreifbar

Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt.
Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt. (Bild: Dsimic CC-BY-3.0)

Die Stagefright-Sicherheitslücke ist auf vielen Geräten noch nicht geschlossen, da veröffentlicht Zimperium Informationen über weitere Verwundbarkeiten von Android. Mehr als eine Milliarde Geräte sollen betroffen sein - und wieder liegt der Fehler in der Verarbeitung von Mediendateien.

Anzeige

Die Sicherheitsforscher von Zimperium haben zwei weitere kritische Sicherheitslücken in Android gefunden. Angreifbar sind die libutils-Bibliothek und auch wieder libstagefright - die schon von der Sicherheitslücke Stagefright betroffen war. Wie Stagefright kann auch die neu entdeckte Lücke durch manipulierte Mediendateien im .mp3- oder .mp4-Format ausgenutzt werden. Zimperium spricht daher auch von Stagefright 2.0.

Die erste Lücke in der libutils-Bibliothek betrifft nach Angaben der Sicherheitsforscher praktisch alle seit 2008 veröffentlichten Android-Geräte - mehr als 1 Milliarde sollen es sein. Bei Smartphones und Tablets mit Android 5.0 oder höheren Versionen soll die Lücke sich jedoch nur in Verbindung mit der zweiten gefundenen Lücke - wieder in libstagefright - ausnutzen lassen.

Als wahrscheinlichsten Angriffsvektor bezeichnen die Forscher den Webbrowser, möglicherweise aber auch Medienplayer anderer Hersteller. Hangout und die Messenger App kommen als Angriffsvektor nicht mehr infrage, da Google die Apps bereits nach Bekanntwerden der Stagefright-Sicherheitslücke aktualisiert hat.

Drei verschiedene Angriffswege

Die Forscher beschreiben drei Angriffswege, über die Angreifer den Nutzern Mediendateien mit präparierten Metadaten unterschieben können. Hacker könnten Nutzer auf eine manipulierte Webseite locken, die dann den Exploit triggert. Sie können Nutzer auch per Man-in-the-Middle-Angriff infizieren, wenn sie in offenen Netzen surfen oder kompromittierte Router nutzen. Oder sie können angreifen, wenn Nutzer unverschlüsselte Webseiten besuchen.

Die Existenz der Sicherheitslücken hat Zimperium laut Blogpost am 15. August an Google gemeldet. Der libutils-Lücke wurde die Nummer CVE-2015-6602 zugewiesen, die neue Lücke in libstagefright ist unter CVE-2015-3876 bei Google eingetragen.

Patches sind auf dem Weg

Google wird seine Geräte der Nexus-Reihe nach Angaben von Zimperium in der kommenden Woche im Rahmen des neuen monatlichen Patchdays aktualisieren. Dann will Zimperium auch neue Details bekanntgeben. Außerdem hat Google nach Angaben von CSO seinen OEM-Partnern bereits am 10. September Patches zur Verfügung gestellt. Bis diese jedoch bei den Nutzern ankommen, könnte noch etwas Zeit vergehen, auch wenn die großen Android-Hersteller mittlerweile ebenfalls monatliche Sicherheitsupdates einführen wollen.

Damit die Updates Nutzer künftig schneller erreichen, wird derzeit über Änderungen in der Zusammenarbeit im Rahmen des Android-Open-Source-Projektes (AOSP) nachgedacht.


eye home zur Startseite
Anonymer Nutzer 03. Okt 2015

Adblock Plus wurde aus Googles PlayStore geschmissen weil Till Faida, der der...

Slurpee 02. Okt 2015

Auch ne gute Möglichkeit. Es gibt eben auch unter Android Möglichkeiten, zeitnah an...

Anonymer Nutzer 02. Okt 2015

Na offensichtlich mich. Ich hab ja hier nicht behauptet das ich von einer Stable zu...

Slurpee 02. Okt 2015

Nein, wenn die Hardware-Hersteller das OS so stark verändern, dass jedes update zur...

SoniX 02. Okt 2015

Da brauchste auch garnicht wie wild irgendwas runterladen. Es reicht schon ein...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München, Leinfelden-Echterdingen, Nürnberg
  2. Robert Bosch GmbH, Leonberg
  3. Woodmark Consulting AG, München
  4. Detecon International GmbH, Köln, Frankfurt am Main


Anzeige
Top-Angebote
  1. 110,00€
  2. (u. a. HP OfficeJet 7510 4in1 A3-Drucker bis 31.08. für 64,00€ inkl. Cashback)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Epic Loot

    Ubisoft schließt vier größere Free-to-Play-Spiele

  2. Smart Home

    Philips-Hue-Bewegungsmelder und neue Leuchten angekündigt

  3. Multirotor G4

    DLRG setzt auf Drohne zur Personensuche im Wasser

  4. Android 7.0

    Erste Nougat-Portierung für Nexus 4 verfügbar

  5. Assistiertes Fahren

    Tesla-Autopilot-Update soll Unfälle verhindern

  6. AR-Brille

    Microsoft spricht über die Hardware der Hololens

  7. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  8. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  9. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  10. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Die werden ihn wohl ausliefern

    Atrocity | 10:50

  2. Re: Goodgames Studio

    Muhaha | 10:50

  3. Re: Darf Russland den Dotcom auch verhaften?

    Atrocity | 10:47

  4. Re: Massiver Lesefehler

    pythoneer | 10:45

  5. Re: Desktop-Android - Clickbait at it's best!

    wasabi | 10:44


  1. 10:22

  2. 09:45

  3. 09:20

  4. 08:49

  5. 07:52

  6. 07:26

  7. 13:49

  8. 12:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel