Abo
  • Services:
Anzeige
Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Sicherheitslücke: Stagefright-Quellcode jetzt öffentlich, Updates noch nicht

Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Die Stagefright-Entdecker legen nach: Sie haben einen Exploit zur Ausnutzung der Sicherheitslücke veröffentlicht. Die meisten Gerätehersteller haben die Lücke bislang nicht gepatcht.

Anzeige

Seit dem 9. September ist der Schadcode verfügbar, der zur Ausführung der Stagefright-Sicherheitslücke benötigt wird. Die Sicherheitsforscher von Zimperium erhöhen damit den Druck auf Google und die Hersteller von Android-Geräten, wirksame Sicherheitsupdates zu veröffentlichen.

Zimperium hat ein Python-Skript veröffentlicht, das eine MP4-Datei erstellt, die die stsc-Sicherheitslücke (Nummer CVE-2015-1538 #1) ausnutzt. Dadurch können Angreifer nach Angaben der Forscher Fotos mit dem Gerät der Nutzer schießen und das Mikrofon abhören, ohne weitere Schwachstellen auszunutzen. Die Forscher haben den Exploit nach eigenen Angaben bislang nur auf einem Nexus-Gerät mit der Android-Version 4.0.4 getestet, Nutzer mit Android in der Version 5.0 oder höher sollen nicht betroffen sein.

Google hat einige Lücken gepatcht

Google hat bereits einige Patches entwickelt, um die Sicherheitslücken zu mitigieren. Updates für Hangout und die Messenger-App blockieren die Ausführung von Schadcode. Doch mit Malware präparierte Webseiten können die meisten Android-Geräte nach wie vor angreifen. Einige Sicherheitsupdates von Google waren zudem fehlerhaft.

Die meisten Android-Nutzer profitieren von Googles Sicherheitsupdates aber ohnehin nur bei den Apps - Betriebssystemupdates liegen in der Verantwortung der Gerätehersteller. Da diese ihre Android-Versionen in der Regel stark anpassen, brauchen sie oft lange, um Sicherheitslücken zu stopfen. Als Sicherheitsmaßnahme hat die Telekom Anfang August angekündigt, den Empfang von MMS vorläufig zu blockieren, bis alle Lücken wirksam gepatcht sind.

Google, Samsung und LG wollen als Reaktion auf Stagefright nun monatliche Patchdays einführen, um Sicherheitslücken auch unabhängig von komplexen Betriebssystemupdates verteilen zu können. Golem.de hat die Hersteller nach einem konkreten Patchdatum gefragt - denn bislang sind viele Geräte nach wie vor verwundbar.

Mit dem Stagefright-Detektor das eigene Smartphone testen

Mit der App Stagefright-Detektor können Android-Nutzer selbst überprüfen, ob ihr Gerät angreifbar ist. Auf einem Galaxy Note 3 von Samsung mit den aktuellsten Updates werden aktuell fünf von sechs bekannten Lücken als angreifbar angezeigt.


eye home zur Startseite
litex 18. Sep 2015

Habe das Update gestern auch bekommen, alle Lücken sind geschlossen. Über die manuelle...

nille02 11. Sep 2015

Bei den älteren, ja, bei neueren nicht mehr. Dort bekommst du dann nur Rechte für die...

Bill Carson 11. Sep 2015

Mein Möhre ist schon gefixt, meine damalige Kaufentscheidung hat sich zum X-ten mal...

nille02 10. Sep 2015

An der Oberfläche müssen sie nicht mal was verändern. dennoch gibt es bei vielen Geräten...

nille02 10. Sep 2015

cve-2015-3828 ist beim MotoG auch noch offen.



Anzeige

Stellenmarkt
  1. VPV Versicherungen, Stuttgart
  2. ETAS GmbH & Co. KG, Stuttgart
  3. Consors Finanz, München
  4. Beuth Hochschule für Technik Berlin "University of Applied Sciences", Berlin


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. FixFifa

    Fans von Fifa 18 drohen mit Boykott

  2. Samsung

    Erste Details zum Galaxy S9

  3. Cyber Monday

    Streiks an drei Amazon-Standorten

  4. Echo Show vs. Fire HD 10 im Test

    Alexa, zeig's mir!

  5. Apple

    Teure Lederhülle für iPhone X deckt Mikrofon ab

  6. Notruf

    Siri ruft unnötig die Feuerwehr

  7. Netzneutralität

    US-Behörde FCC will Internetprovidern alles erlauben

  8. Fraunhofer Fokus

    Metaminer soll datensammelnde Apps aufdecken

  9. Onlinehandel

    Bundesgerichtshof greift Paypal-Käuferschutz an

  10. Verbraucherschutz

    Sportuhr-Hersteller gehen unsportlich mit Daten um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

  1. Re: Also ich, Entwickler, Nerd, 23, Single bin...

    neocron | 10:44

  2. "You're holding it wrong"... (kwt)

    omtr | 10:44

  3. Re: Solche Lootboxen gibt es doch schon ewig....

    |=H | 10:42

  4. Re: Generelles Problem

    Whitey | 10:41

  5. Re: Nerds

    jacki | 10:41


  1. 10:39

  2. 10:30

  3. 10:20

  4. 08:55

  5. 07:41

  6. 07:30

  7. 07:12

  8. 17:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel