Abo
  • Services:
Anzeige
Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv

Hacker haben die Lücke in Androids Stagefright bereits im Visier.
Hacker haben die Lücke in Androids Stagefright bereits im Visier. (Bild: Joshua Drake)

Erste Nachweise, dass sich die wohl gravierende Sicherheitslücke in Android ausnutzen lässt, sind bereits im Umlauf. Patches gibt es zwar schon für Android und Cyanogenmod - bis die Hersteller sie bereitstellen, könnte Stagefright aber millionenfach missbraucht worden sein.

Anzeige

Für die kürzlich vermeldete Sicherheitslücke Stagefright in Googles mobilem Betriebssystem Android gibt es laut Forbes bereits einen Machbarkeitsnachweis ihrer Ausnutzbarkeit. Auch eine chinesische Webseite hat Details zu der Schwachstelle veröffentlicht. Es dürfte also nicht mehr lange dauern, bis erste Exploits dafür kursieren. Betroffen sind laut dem Entdecker der Schwachstelle, Joshua Drake, sämtliche Android-Systeme ab Version 2.2. Er nennt sie die "Mutter aller Sicherheitslücken".

Laut Drake lässt sich die Schwachstelle über manipulierte MMS ausnutzen. Daher sollte man den MMS-Empfang deaktivieren. Je nach Android-Version lässt sich dies an zentraler Stelle in den Einstellungen oder zusätzlich in einzelnen Apps festlegen, die einen MMS-Empfang unterstützen. Damit ist die Schwachstelle aber mitnichten geschlossen. Denn laut dem Anti-Viren-Hersteller Trend Micro reicht ein Besuch auf einer Webseite, auf der ein manipuliertes MP4-Video angeboten wird.

Stagefright kann auch über manipulierte Webseiten ausgenutzt werden

Die von Trend Micro fast zeitgleich gemeldete Sicherheitslücke in Android betrifft ebenfalls den Mediaserver des Android-Betriebssystems. In ihrem Experiment manipulierten sie ein Video in einem Matroska-Container mit der Dateiendung MKV. Nun konnten sie die Stagefright-Lücke auch mit einer speziell präparierten MP4-Datei ausnutzen. Die Video-Datei betteten sie in eine HTML-Datei ein. Selbst wenn Chrome so eingestellt ist, dass Videos nicht automatisch geladen werden, verursacht eine manipulierte MP4-Datei einen Pufferüberlauf. Ihr Angriff funktioniere ab Version 4.0.1 von Android, heißt es in einem Blogpost.

Über den verursachten Speicherfehler kann Code eingeschleust und ausgeführt werden. Der Nutzer bemerkt nur den Absturz, und der Schadcode kann sich ohne weiteres Zutun installieren. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android schrittweise eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Google wurde über die Schwachstelle informiert und hat entsprechende Patches bereitgestellt, die das Problem lösen. Sie wurde unter anderem in Googles Android Open Source Projekt (AOSP) und in Cyanogenmod übernommen. Laut Drake funktioniert der Exploit bereits auf Google Nexus 6 nicht mehr. Allerdings muss der Code auch in die einzelnen ROMs der Hersteller übernommen und dann an die Nutzer verteilt werden.


eye home zur Startseite
FreiGeistler 06. Aug 2015

Verstehe selbst noch nicht so viel von tieferen Android-Interna. .so sind Treiber in der...

User_x 05. Aug 2015

Ich sehe auch hier die Medien in der Pflicht. Es kann einfach nicht sein, das Golem...

Jasmin26 05. Aug 2015

auf Garantie sicher nicht, aber hier greift die gesetzliche Gewährleistung ... aber auch...

Lala Satalin... 05. Aug 2015

Ok, und wieso hat die so einen bescheuerten Namen?

matok 05. Aug 2015

Sorry, aber wenn Google solche Kernbestandteile nicht Patchen kann, ohne das die...



Anzeige

Stellenmarkt
  1. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  2. Radeberger Gruppe KG, Frankfurt am Main
  3. IT Services mpsna GmbH, Herten
  4. INTENSE AG, Würzburg, Köln (Home-Office)


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 19,99€ - Release 19.10.
  3. 42,49€

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

  1. Re: Jamaika wird nicht halten

    Neratiel | 04:29

  2. Re: Selbstgemachtes Problem

    bombinho | 03:12

  3. Re: Endlich Reißleine ziehen.

    bombinho | 03:09

  4. Re: Dagegen! [solution inside]

    bombinho | 03:02

  5. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    mnementh | 02:05


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel