• IT-Karriere:
  • Services:

Sicherheitslücke: Stagefright-Quellcode jetzt öffentlich, Updates noch nicht

Die Stagefright-Entdecker legen nach: Sie haben einen Exploit zur Ausnutzung der Sicherheitslücke veröffentlicht. Die meisten Gerätehersteller haben die Lücke bislang nicht gepatcht.

Artikel veröffentlicht am ,
Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Seit dem 9. September ist der Schadcode verfügbar, der zur Ausführung der Stagefright-Sicherheitslücke benötigt wird. Die Sicherheitsforscher von Zimperium erhöhen damit den Druck auf Google und die Hersteller von Android-Geräten, wirksame Sicherheitsupdates zu veröffentlichen.

Stellenmarkt
  1. Stiftung Hospital zum heiligen Geist, Frankfurt am Main
  2. Deutsche Vermögensberatung AG, Frankfurt am Main

Zimperium hat ein Python-Skript veröffentlicht, das eine MP4-Datei erstellt, die die stsc-Sicherheitslücke (Nummer CVE-2015-1538 #1) ausnutzt. Dadurch können Angreifer nach Angaben der Forscher Fotos mit dem Gerät der Nutzer schießen und das Mikrofon abhören, ohne weitere Schwachstellen auszunutzen. Die Forscher haben den Exploit nach eigenen Angaben bislang nur auf einem Nexus-Gerät mit der Android-Version 4.0.4 getestet, Nutzer mit Android in der Version 5.0 oder höher sollen nicht betroffen sein.

Google hat einige Lücken gepatcht

Google hat bereits einige Patches entwickelt, um die Sicherheitslücken zu mitigieren. Updates für Hangout und die Messenger-App blockieren die Ausführung von Schadcode. Doch mit Malware präparierte Webseiten können die meisten Android-Geräte nach wie vor angreifen. Einige Sicherheitsupdates von Google waren zudem fehlerhaft.

Die meisten Android-Nutzer profitieren von Googles Sicherheitsupdates aber ohnehin nur bei den Apps - Betriebssystemupdates liegen in der Verantwortung der Gerätehersteller. Da diese ihre Android-Versionen in der Regel stark anpassen, brauchen sie oft lange, um Sicherheitslücken zu stopfen. Als Sicherheitsmaßnahme hat die Telekom Anfang August angekündigt, den Empfang von MMS vorläufig zu blockieren, bis alle Lücken wirksam gepatcht sind.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Google, Samsung und LG wollen als Reaktion auf Stagefright nun monatliche Patchdays einführen, um Sicherheitslücken auch unabhängig von komplexen Betriebssystemupdates verteilen zu können. Golem.de hat die Hersteller nach einem konkreten Patchdatum gefragt - denn bislang sind viele Geräte nach wie vor verwundbar.

Mit dem Stagefright-Detektor das eigene Smartphone testen

Mit der App Stagefright-Detektor können Android-Nutzer selbst überprüfen, ob ihr Gerät angreifbar ist. Auf einem Galaxy Note 3 von Samsung mit den aktuellsten Updates werden aktuell fünf von sechs bekannten Lücken als angreifbar angezeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

litex 18. Sep 2015

Habe das Update gestern auch bekommen, alle Lücken sind geschlossen. Über die manuelle...

nille02 11. Sep 2015

Bei den älteren, ja, bei neueren nicht mehr. Dort bekommst du dann nur Rechte für die...

Bill Carson 11. Sep 2015

Mein Möhre ist schon gefixt, meine damalige Kaufentscheidung hat sich zum X-ten mal...

nille02 10. Sep 2015

An der Oberfläche müssen sie nicht mal was verändern. dennoch gibt es bei vielen Geräten...

nille02 10. Sep 2015

cve-2015-3828 ist beim MotoG auch noch offen.


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /