Abo
  • Services:
Anzeige
Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv

Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Erste Nachweise, dass sich die wohl gravierende Sicherheitslücke in Android ausnutzen lässt, sind bereits im Umlauf. Patches gibt es zwar schon für Android und Cyanogenmod - bis die Hersteller sie bereitstellen, könnte Stagefright aber millionenfach missbraucht worden sein.

Für die kürzlich vermeldete Sicherheitslücke Stagefright in Googles mobilem Betriebssystem Android gibt es laut Forbes bereits einen Machbarkeitsnachweis ihrer Ausnutzbarkeit. Auch eine chinesische Webseite hat Details zu der Schwachstelle veröffentlicht. Es dürfte also nicht mehr lange dauern, bis erste Exploits dafür kursieren. Betroffen sind laut dem Entdecker der Schwachstelle, Joshua Drake, sämtliche Android-Systeme ab Version 2.2. Er nennt sie die "Mutter aller Sicherheitslücken".

Anzeige

Laut Drake lässt sich die Schwachstelle über manipulierte MMS ausnutzen. Daher sollte man den MMS-Empfang deaktivieren. Je nach Android-Version lässt sich dies an zentraler Stelle in den Einstellungen oder zusätzlich in einzelnen Apps festlegen, die einen MMS-Empfang unterstützen. Damit ist die Schwachstelle aber mitnichten geschlossen. Denn laut dem Anti-Viren-Hersteller Trend Micro reicht ein Besuch auf einer Webseite, auf der ein manipuliertes MP4-Video angeboten wird.

Stagefright kann auch über manipulierte Webseiten ausgenutzt werden

Die von Trend Micro fast zeitgleich gemeldete Sicherheitslücke in Android betrifft ebenfalls den Mediaserver des Android-Betriebssystems. In ihrem Experiment manipulierten sie ein Video in einem Matroska-Container mit der Dateiendung MKV. Nun konnten sie die Stagefright-Lücke auch mit einer speziell präparierten MP4-Datei ausnutzen. Die Video-Datei betteten sie in eine HTML-Datei ein. Selbst wenn Chrome so eingestellt ist, dass Videos nicht automatisch geladen werden, verursacht eine manipulierte MP4-Datei einen Pufferüberlauf. Ihr Angriff funktioniere ab Version 4.0.1 von Android, heißt es in einem Blogpost.

Über den verursachten Speicherfehler kann Code eingeschleust und ausgeführt werden. Der Nutzer bemerkt nur den Absturz, und der Schadcode kann sich ohne weiteres Zutun installieren. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android schrittweise eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Google wurde über die Schwachstelle informiert und hat entsprechende Patches bereitgestellt, die das Problem lösen. Sie wurde unter anderem in Googles Android Open Source Projekt (AOSP) und in Cyanogenmod übernommen. Laut Drake funktioniert der Exploit bereits auf Google Nexus 6 nicht mehr. Allerdings muss der Code auch in die einzelnen ROMs der Hersteller übernommen und dann an die Nutzer verteilt werden.


eye home zur Startseite
FreiGeistler 06. Aug 2015

Verstehe selbst noch nicht so viel von tieferen Android-Interna. .so sind Treiber in der...

User_x 05. Aug 2015

Ich sehe auch hier die Medien in der Pflicht. Es kann einfach nicht sein, das Golem...

Jasmin26 05. Aug 2015

auf Garantie sicher nicht, aber hier greift die gesetzliche Gewährleistung ... aber auch...

Lala Satalin... 05. Aug 2015

Ok, und wieso hat die so einen bescheuerten Namen?

matok 05. Aug 2015

Sorry, aber wenn Google solche Kernbestandteile nicht Patchen kann, ohne das die...



Anzeige

Stellenmarkt
  1. Landis+Gyr GmbH, Nürnberg
  2. Zurich Gruppe Deutschland, Bonn
  3. SCHOTTEL GmbH, Spay am Rhein
  4. Power Service GmbH, Köln


Anzeige
Spiele-Angebote
  1. 0,00€ USK 18
  2. 8,49€
  3. (-13%) 34,99€

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Re: ich bin für Klassisches

    Neuro-Chef | 01:53

  2. Good News

    Joker86 | 01:21

  3. Re: Kann ich nur bestätigen

    beaglow | 01:05

  4. Re: Die Praxis wird noch zunehmen

    User_x | 00:59

  5. Re: Wollt ihr den totalen ... ,äh, die totale...

    Gucky | 00:52


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel