Abo
  • Services:
Anzeige
Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv

Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Erste Nachweise, dass sich die wohl gravierende Sicherheitslücke in Android ausnutzen lässt, sind bereits im Umlauf. Patches gibt es zwar schon für Android und Cyanogenmod - bis die Hersteller sie bereitstellen, könnte Stagefright aber millionenfach missbraucht worden sein.

Anzeige

Für die kürzlich vermeldete Sicherheitslücke Stagefright in Googles mobilem Betriebssystem Android gibt es laut Forbes bereits einen Machbarkeitsnachweis ihrer Ausnutzbarkeit. Auch eine chinesische Webseite hat Details zu der Schwachstelle veröffentlicht. Es dürfte also nicht mehr lange dauern, bis erste Exploits dafür kursieren. Betroffen sind laut dem Entdecker der Schwachstelle, Joshua Drake, sämtliche Android-Systeme ab Version 2.2. Er nennt sie die "Mutter aller Sicherheitslücken".

Laut Drake lässt sich die Schwachstelle über manipulierte MMS ausnutzen. Daher sollte man den MMS-Empfang deaktivieren. Je nach Android-Version lässt sich dies an zentraler Stelle in den Einstellungen oder zusätzlich in einzelnen Apps festlegen, die einen MMS-Empfang unterstützen. Damit ist die Schwachstelle aber mitnichten geschlossen. Denn laut dem Anti-Viren-Hersteller Trend Micro reicht ein Besuch auf einer Webseite, auf der ein manipuliertes MP4-Video angeboten wird.

Stagefright kann auch über manipulierte Webseiten ausgenutzt werden

Die von Trend Micro fast zeitgleich gemeldete Sicherheitslücke in Android betrifft ebenfalls den Mediaserver des Android-Betriebssystems. In ihrem Experiment manipulierten sie ein Video in einem Matroska-Container mit der Dateiendung MKV. Nun konnten sie die Stagefright-Lücke auch mit einer speziell präparierten MP4-Datei ausnutzen. Die Video-Datei betteten sie in eine HTML-Datei ein. Selbst wenn Chrome so eingestellt ist, dass Videos nicht automatisch geladen werden, verursacht eine manipulierte MP4-Datei einen Pufferüberlauf. Ihr Angriff funktioniere ab Version 4.0.1 von Android, heißt es in einem Blogpost.

Über den verursachten Speicherfehler kann Code eingeschleust und ausgeführt werden. Der Nutzer bemerkt nur den Absturz, und der Schadcode kann sich ohne weiteres Zutun installieren. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android schrittweise eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Google wurde über die Schwachstelle informiert und hat entsprechende Patches bereitgestellt, die das Problem lösen. Sie wurde unter anderem in Googles Android Open Source Projekt (AOSP) und in Cyanogenmod übernommen. Laut Drake funktioniert der Exploit bereits auf Google Nexus 6 nicht mehr. Allerdings muss der Code auch in die einzelnen ROMs der Hersteller übernommen und dann an die Nutzer verteilt werden.


eye home zur Startseite
FreiGeistler 06. Aug 2015

Verstehe selbst noch nicht so viel von tieferen Android-Interna. .so sind Treiber in der...

User_x 05. Aug 2015

Ich sehe auch hier die Medien in der Pflicht. Es kann einfach nicht sein, das Golem...

Jasmin26 05. Aug 2015

auf Garantie sicher nicht, aber hier greift die gesetzliche Gewährleistung ... aber auch...

Lala Satalin... 05. Aug 2015

Ok, und wieso hat die so einen bescheuerten Namen?

matok 05. Aug 2015

Sorry, aber wenn Google solche Kernbestandteile nicht Patchen kann, ohne das die...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Böblingen
  2. MBDA Deutschland, Schrobenhausen
  3. über Nash Direct GmbH, Südschwarzwald
  4. Bechtle Onsite Services GmbH, deutschlandweit


Anzeige
Top-Angebote
  1. 5,00€
  2. 34,49€

Folgen Sie uns
       


  1. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen

  2. Polyphony Digital

    GT Sport bekommt Einzelspielerliga

  3. Smartphone-Tarife

    Congstar wertet Prepaid-Pakete auf

  4. Rauschgifthandel

    BKA nimmt "Top-Verkäufer" aus dem Darknet fest

  5. Toyota

    Roboter T-HR3 meldet sich zum Arbeitseinsatz

  6. FixFifa

    Fans von Fifa 18 drohen mit Boykott

  7. Samsung

    Erste Details zum Galaxy S9

  8. Cyber Monday

    Streiks an drei Amazon-Standorten

  9. Echo Show vs. Fire HD 10 im Test

    Alexa, zeig's mir!

  10. Apple

    Teure Lederhülle für iPhone X deckt Mikrofon ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

Oneplus 5T im Test: Praktische Änderungen ohne Preiserhöhung
Oneplus 5T im Test
Praktische Änderungen ohne Preiserhöhung
  1. Smartphone Neues Oneplus 5T kostet weiterhin 500 Euro
  2. Sicherheitsrisiko Oneplus-Smartphones kommen mit eingebautem Root-Zugang
  3. Smartphone-Hersteller Oneplus will Datensammlung einschränken

  1. Re: Was haben eigentlich die deutschen Ingenieure...

    gutenmorgen123 | 12:11

  2. Re: Empfänger

    tha_specializt | 12:10

  3. Re: Generelles Problem

    Private Paula | 12:09

  4. Schöne Wanzen sind das, prima auch zum bestellen...

    egal | 12:08

  5. Clash Royale

    peter.kleibert | 12:06


  1. 11:59

  2. 11:51

  3. 11:45

  4. 11:30

  5. 11:02

  6. 10:39

  7. 10:30

  8. 10:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel