Sicherheitslücke: Stagefright-Quellcode jetzt öffentlich, Updates noch nicht

Die Stagefright-Entdecker legen nach: Sie haben einen Exploit zur Ausnutzung der Sicherheitslücke veröffentlicht. Die meisten Gerätehersteller haben die Lücke bislang nicht gepatcht.

Artikel veröffentlicht am ,
Noch immer sind viele Android-Geräte durch Stagefright verwundbar.
Noch immer sind viele Android-Geräte durch Stagefright verwundbar. (Bild: Zimperium)

Seit dem 9. September ist der Schadcode verfügbar, der zur Ausführung der Stagefright-Sicherheitslücke benötigt wird. Die Sicherheitsforscher von Zimperium erhöhen damit den Druck auf Google und die Hersteller von Android-Geräten, wirksame Sicherheitsupdates zu veröffentlichen.

Zimperium hat ein Python-Skript veröffentlicht, das eine MP4-Datei erstellt, die die stsc-Sicherheitslücke (Nummer CVE-2015-1538 #1) ausnutzt. Dadurch können Angreifer nach Angaben der Forscher Fotos mit dem Gerät der Nutzer schießen und das Mikrofon abhören, ohne weitere Schwachstellen auszunutzen. Die Forscher haben den Exploit nach eigenen Angaben bislang nur auf einem Nexus-Gerät mit der Android-Version 4.0.4 getestet, Nutzer mit Android in der Version 5.0 oder höher sollen nicht betroffen sein.

Google hat einige Lücken gepatcht

Google hat bereits einige Patches entwickelt, um die Sicherheitslücken zu mitigieren. Updates für Hangout und die Messenger-App blockieren die Ausführung von Schadcode. Doch mit Malware präparierte Webseiten können die meisten Android-Geräte nach wie vor angreifen. Einige Sicherheitsupdates von Google waren zudem fehlerhaft.

Die meisten Android-Nutzer profitieren von Googles Sicherheitsupdates aber ohnehin nur bei den Apps - Betriebssystemupdates liegen in der Verantwortung der Gerätehersteller. Da diese ihre Android-Versionen in der Regel stark anpassen, brauchen sie oft lange, um Sicherheitslücken zu stopfen. Als Sicherheitsmaßnahme hat die Telekom Anfang August angekündigt, den Empfang von MMS vorläufig zu blockieren, bis alle Lücken wirksam gepatcht sind.

Google, Samsung und LG wollen als Reaktion auf Stagefright nun monatliche Patchdays einführen, um Sicherheitslücken auch unabhängig von komplexen Betriebssystemupdates verteilen zu können. Golem.de hat die Hersteller nach einem konkreten Patchdatum gefragt - denn bislang sind viele Geräte nach wie vor verwundbar.

Mit dem Stagefright-Detektor das eigene Smartphone testen

Mit der App Stagefright-Detektor können Android-Nutzer selbst überprüfen, ob ihr Gerät angreifbar ist. Auf einem Galaxy Note 3 von Samsung mit den aktuellsten Updates werden aktuell fünf von sechs bekannten Lücken als angreifbar angezeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
artikel-bild
Alternatives Android
Cyanogenmod bringt CM12.1-Release und Stagefright-Patches
artikel-bild
Microsoft
Kritische Sicherheitslücken in Edge werden gepatcht
Meistgelesen
artikel-bild
Wenn das Smartphone streikt
Fehlersuche schwer gemacht
artikel-bild
Künstliche Intelligenz
Eine starke KI muss von der Welt träumen können
artikel-bild
Sammanlänkad
Ikea bringt wandlungsfähige Solarlampe
Kommentarübersicht
Re: LG G4
litex 18. Sep 2015

Habe das Update gestern auch bekommen, alle Lücken sind geschlossen. Über die manuelle...

Re: Auch zum Rooten nuetzlich?
nille02 11. Sep 2015

Bei den älteren, ja, bei neueren nicht mehr. Dort bekommst du dann nur Rechte für die...

Yay!
Bill Carson 11. Sep 2015

Mein Möhre ist schon gefixt, meine damalige Kaufentscheidung hat sich zum X-ten mal...

Re: Damit erhöhen sie eher den Druck auf Kunden...
nille02 10. Sep 2015

An der Oberfläche müssen sie nicht mal was verändern. dennoch gibt es bei vielen Geräten...

Aktuell auf der Startseite von Golem.de
Automobil
Keine zwei Minuten, um einen Tesla Model 3 zu hacken

Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
Artikel
  1. Fiktive Szenarien und Stereotype: AfD nutzt KI-Fotos für propagandistische Zwecke
    Fiktive Szenarien und Stereotype
    AfD nutzt KI-Fotos für propagandistische Zwecke

    Politiker der Alternative für Deutschland (AfD) nutzen realistische KI-Bilder, um Stimmung zu machen. Die Bilder sind kaum von echten Fotos zu unterscheiden.

  2. Java 20, GPT-4, Typescript, Docker: Neue Java-Version und AI everwhere
    Java 20, GPT-4, Typescript, Docker
    Neue Java-Version und AI everwhere

    Dev-Update Oracle hat Java 20 veröffentlicht. Enthalten sind sieben JEPs aus drei Projekten. Dev-News gab es diesen Monat auch in Sachen Typescript, Docker und KI in Entwicklungsumgebungen.
    Von Dirk Koller

  3. Socket: ChatGPT findet Malware in NPM- und Python-Paketen
    Socket
    ChatGPT findet Malware in NPM- und Python-Paketen

    Der Anbieter eines Sicherheitsscanners, Socket, nutzt den Chatbot von OpenAI auch zur Untersuchung von Paketen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial SSD 1TB/2TB bis -43% • RAM im Preisrutsch • RTX 4090 erstmals unter 1.700€ • MindStar: iPhone 14 Pro Max 1TB 1.599€ • SSDs & Festplatten bis -60% • AOC 34" UWQHD 279€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /