Abo
  • Services:
Anzeige
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden

Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben.

Anzeige

Im Vorfeld der IT-Sicherheitskonferenz Black Hat gibt es eine Meldung, die aufschrecken lässt: Fast alle Android-Geräte haben gravierende Schwachstellen in dem Multimedia-Framework Stagefright. Darüber lässt sich eine speziell präparierte MMS installieren, die letztendlich das betroffene Gerät in eine Wanze verwandeln kann.

Die Lücken hat der IT-Sicherheitsforscher Joshua Drake entdeckt. Details dazu will er aber erst auf der Black Hat USA 2015 Anfang August in Las Vegas bekanntgeben. Forbes berichtet vorab über die Lücke, die Drake die "Mutter aller Android-Lücken" nennt. Laut Drake sind alle Versionen ab Android 2.2 betroffen. Google sei bereits im Mai 2015 darüber informiert worden und hat wohl schon Patches für die insgesamt sieben Lücken (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) bereitgestellt.

Erste Hersteller haben bereits gepatcht

Auf dem von Drake verwendeten Nexus 6 seien die Reparaturen bereits umgesetzt worden, heißt es in dem Bericht. Zu Forbes sagte Google allerdings, dass die entsprechenden Updates für seine Nexus-Geräte erst nächste Woche bereitgestellt werden sollen. Mozillas Firefox-Browser soll ab Version 38 sicher sein und Silent Circle habe bereits Patches umgesetzt. Bei Github wiegelte dessen Silent-Circle-Hauptentwickler Moxie Marlinspike aber ab: Damit eine manipulierte MMS auf dem Android-Gerät installiert werden kann, brauche es die Interaktion des Benutzers. Unter dessen Github-Eintrag gibt es eine Liste von Links zu Patches, die in diesem Zusammenhang bereits bei Cyanogenmod erarbeitet wurden.

Dem widerspricht Drake jedoch. Es gebe Applikationen, mit denen der Exploit auch ohne Interaktion funktioniert. Auf Versionen vor Android 4.1 müsse die manipulierte MMS lediglich über Google Hangouts empfangen werden. Sie aktiviere sich dann auch ohne Zutun des Anwenders. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Hype oder nicht?

Drake ist indes kein Unbekannter, er hat beispielsweise das Android Hacker's Handbook geschrieben. Im Vorfeld der IT-Sicherheitskonferenzen Black Hat und Defcon gibt es aber traditionell zahlreiche gehypte Meldungen über potenzielle Schwachstellen oder Angriffe. Google will allerdings die Patches auch an die Öffentlichkeit bringen, wenn Drake dort seine Vorträge hält. Auch wenn noch Details fehlen - es könnte sich tatsächlich um eine gravierende Sicherheitslücke handeln. Dann bleibt zu hoffen, dass auch die Hersteller schnell reagieren.


eye home zur Startseite
non_sense 28. Jul 2015

Betrifft das Problem wirklich nur, wenn jemand Hangouts verwendet? wenn ja, wieso...

sehr_interessant 28. Jul 2015

...und im Artikel wird es so dargestellt, als ob er der Meinung wäre, dass es generell...

pk_erchner 28. Jul 2015

Automatischer MMS Download deaktivieren https://support.google.com/hangouts/answer...

Anonymer Nutzer 28. Jul 2015

Ich bezweifel irgendwie das 90 Prozent aller Android Geräte über eine SIM-Karte...

Cyber1999 28. Jul 2015

In dem Artikel steht Hangouts explizit beschrieben, hatte es aber in anderen Artikel so...



Anzeige

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. ENERCON GmbH, Aurich
  3. über Ratbacher GmbH, Balingen
  4. HALLHUBER GmbH, München


Anzeige
Top-Angebote
  1. 189,00€ (Bestpreis!)
  2. 19,99€ (nur für Prime-Mitglieder)
  3. (Kaufen und Leihen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Große Pläne

    SpaceX soll 2018 zwei Weltraumtouristen um den Mond fliegen

  2. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  3. Robocar

    Roborace präsentiert Roboterboliden

  4. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge

  5. Project Zero

    Erneut ungepatchter Microsoft-Bug veröffentlicht

  6. Twitch

    Videostreamer verdienen am Spieleverkauf

  7. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  8. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  9. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  10. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch eingeschaltet: Zerstückelte Konsole und gigantisches Handheld
Nintendo Switch eingeschaltet
Zerstückelte Konsole und gigantisches Handheld
  1. Nintendo Interner Speicher von Switch offenbar schon jetzt zu klein
  2. Hybridkonsole Leak zeigt Menüs der Nintendo Switch
  3. Hybridkonsole Hardware-Details von Nintendo Switch geleakt

Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Lenovo-Tab-4-Serie Lenovos neue Android-Tablets kosten ab 180 Euro
  2. Yoga 520 und 720 USB-C und Kaby Lake für Lenovos Falt-Notebooks
  3. Alcatel A5 LED im Hands on Wenn die Smartphone-Rückseite wild blinkt

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

  1. Re: Zur Verwendung als Festnetzersatz...

    Spaghetticode | 04:06

  2. Re: 90 Tage sind auch genug Zeit

    Technik Schaf | 04:04

  3. Re: Ich tippe auf...

    Apfelbrot | 04:01

  4. Re: In Deutschland machen sich die Provider...

    Moe479 | 02:54

  5. Re: "Selber Schuld"

    Dadie | 02:35


  1. 00:29

  2. 18:18

  3. 17:56

  4. 17:38

  5. 17:21

  6. 17:06

  7. 16:32

  8. 16:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel