Stagefright 2.0: Sicherheitslücke macht 1 Milliarde Android-Geräte angreifbar

Die Stagefright-Sicherheitslücke ist auf vielen Geräten noch nicht geschlossen, da veröffentlicht Zimperium Informationen über weitere Verwundbarkeiten von Android. Mehr als eine Milliarde Geräte sollen betroffen sein - und wieder liegt der Fehler in der Verarbeitung von Mediendateien.

Artikel veröffentlicht am ,
Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt.
Sicherheitsforscher haben weitere kritische Sicherheitslücken in Android entdeckt. (Bild: Dsimic CC-BY-3.0)

Die Sicherheitsforscher von Zimperium haben zwei weitere kritische Sicherheitslücken in Android gefunden. Angreifbar sind die libutils-Bibliothek und auch wieder libstagefright - die schon von der Sicherheitslücke Stagefright betroffen war. Wie Stagefright kann auch die neu entdeckte Lücke durch manipulierte Mediendateien im .mp3- oder .mp4-Format ausgenutzt werden. Zimperium spricht daher auch von Stagefright 2.0.

Stellenmarkt
  1. Service Manager (w/m/d) Microsoft Cloud Services
    AIXTRON SE, Herzogenrath
  2. Product Owner Digital Sales für die Abteilung Kundenprozesse, -anwendungen & -daten (m/w/d)
    Allianz Deutschland AG, München, Unterföhring
Detailsuche

Die erste Lücke in der libutils-Bibliothek betrifft nach Angaben der Sicherheitsforscher praktisch alle seit 2008 veröffentlichten Android-Geräte - mehr als 1 Milliarde sollen es sein. Bei Smartphones und Tablets mit Android 5.0 oder höheren Versionen soll die Lücke sich jedoch nur in Verbindung mit der zweiten gefundenen Lücke - wieder in libstagefright - ausnutzen lassen.

Als wahrscheinlichsten Angriffsvektor bezeichnen die Forscher den Webbrowser, möglicherweise aber auch Medienplayer anderer Hersteller. Hangout und die Messenger App kommen als Angriffsvektor nicht mehr infrage, da Google die Apps bereits nach Bekanntwerden der Stagefright-Sicherheitslücke aktualisiert hat.

Drei verschiedene Angriffswege

Die Forscher beschreiben drei Angriffswege, über die Angreifer den Nutzern Mediendateien mit präparierten Metadaten unterschieben können. Hacker könnten Nutzer auf eine manipulierte Webseite locken, die dann den Exploit triggert. Sie können Nutzer auch per Man-in-the-Middle-Angriff infizieren, wenn sie in offenen Netzen surfen oder kompromittierte Router nutzen. Oder sie können angreifen, wenn Nutzer unverschlüsselte Webseiten besuchen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die Existenz der Sicherheitslücken hat Zimperium laut Blogpost am 15. August an Google gemeldet. Der libutils-Lücke wurde die Nummer CVE-2015-6602 zugewiesen, die neue Lücke in libstagefright ist unter CVE-2015-3876 bei Google eingetragen.

Patches sind auf dem Weg

Google wird seine Geräte der Nexus-Reihe nach Angaben von Zimperium in der kommenden Woche im Rahmen des neuen monatlichen Patchdays aktualisieren. Dann will Zimperium auch neue Details bekanntgeben. Außerdem hat Google nach Angaben von CSO seinen OEM-Partnern bereits am 10. September Patches zur Verfügung gestellt. Bis diese jedoch bei den Nutzern ankommen, könnte noch etwas Zeit vergehen, auch wenn die großen Android-Hersteller mittlerweile ebenfalls monatliche Sicherheitsupdates einführen wollen.

Damit die Updates Nutzer künftig schneller erreichen, wird derzeit über Änderungen in der Zusammenarbeit im Rahmen des Android-Open-Source-Projektes (AOSP) nachgedacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

Anonymer Nutzer 03. Okt 2015

Adblock Plus wurde aus Googles PlayStore geschmissen weil Till Faida, der der...

Slurpee 02. Okt 2015

Auch ne gute Möglichkeit. Es gibt eben auch unter Android Möglichkeiten, zeitnah an...

Anonymer Nutzer 02. Okt 2015

Na offensichtlich mich. Ich hab ja hier nicht behauptet das ich von einer Stable zu...

Slurpee 02. Okt 2015

Nein, wenn die Hardware-Hersteller das OS so stark verändern, dass jedes update zur...

SoniX 02. Okt 2015

Da brauchste auch garnicht wie wild irgendwas runterladen. Es reicht schon ein...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /