Stagefright 2.0: Sicherheitslücke macht 1 Milliarde Android-Geräte angreifbar

Die Sicherheitsforscher von Zimperium haben zwei weitere kritische Sicherheitslücken in Android gefunden. Angreifbar sind die libutils-Bibliothek und auch wieder libstagefright - die schon von der Sicherheitslücke Stagefright betroffen war. Wie Stagefright kann auch die neu entdeckte Lücke durch manipulierte Mediendateien im .mp3- oder .mp4-Format ausgenutzt werden. Zimperium spricht daher auch von Stagefright 2.0.

Die erste Lücke in der libutils-Bibliothek betrifft nach Angaben der Sicherheitsforscher praktisch alle seit 2008 veröffentlichten Android-Geräte - mehr als 1 Milliarde sollen es sein. Bei Smartphones und Tablets mit Android 5.0 oder höheren Versionen soll die Lücke sich jedoch nur in Verbindung mit der zweiten gefundenen Lücke - wieder in libstagefright - ausnutzen lassen.

Als wahrscheinlichsten Angriffsvektor bezeichnen die Forscher den Webbrowser, möglicherweise aber auch Medienplayer anderer Hersteller. Hangout und die Messenger App kommen als Angriffsvektor nicht mehr infrage, da Google die Apps bereits nach Bekanntwerden der Stagefright-Sicherheitslücke aktualisiert hat.

Drei verschiedene Angriffswege

Die Forscher beschreiben drei Angriffswege, über die Angreifer den Nutzern Mediendateien mit präparierten Metadaten unterschieben können. Hacker könnten Nutzer auf eine manipulierte Webseite locken, die dann den Exploit triggert. Sie können Nutzer auch per Man-in-the-Middle-Angriff infizieren, wenn sie in offenen Netzen surfen oder kompromittierte Router nutzen. Oder sie können angreifen, wenn Nutzer unverschlüsselte Webseiten besuchen.

Die Existenz der Sicherheitslücken hat Zimperium laut Blogpost am 15. August an Google gemeldet. Der libutils-Lücke wurde die Nummer CVE-2015-6602 zugewiesen, die neue Lücke in libstagefright ist unter CVE-2015-3876 bei Google eingetragen.

Patches sind auf dem Weg

Google wird seine Geräte der Nexus-Reihe nach Angaben von Zimperium in der kommenden Woche im Rahmen des neuen monatlichen Patchdays aktualisieren. Dann will Zimperium auch neue Details bekanntgeben. Außerdem hat Google nach Angaben von CSO seinen OEM-Partnern bereits am 10. September Patches zur Verfügung gestellt. Bis diese jedoch bei den Nutzern ankommen, könnte noch etwas Zeit vergehen, auch wenn die großen Android-Hersteller mittlerweile ebenfalls monatliche Sicherheitsupdates einführen wollen.

Damit die Updates Nutzer künftig schneller erreichen, wird derzeit über Änderungen in der Zusammenarbeit im Rahmen des Android-Open-Source-Projektes (AOSP) nachgedacht.