Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.035 Produkten

Dennis Schirrmacher 160

Android: Stagefright-Exploit veröffentlicht

Stagefright

Sicherheitsforscher wollen mit ihrem Stagefright-Exploit Hersteller dazu bewegen, Updates herauszugeben.

Die Entdecker der Stagefright-Lücken von Zimperium haben einen funktionierenden Exploit zum Ausnutzen der Schwachstellen veröffentlicht. Damit sollen Hersteller ihre Android-Modelle prüfen, um Updates zu entwickeln.

Anzeige

Bislang kursierte nur ein Proof of Concept im Internet, mit dem man Androids Multimedia-Framework Stagefright zum Absturz bringen kann. Zimperium wollte den Exploit eigentlich schon am 5. August im Rahmen der Hacker-Konferenz Black Hat veröffentlichen. Eigenen Angaben zufolge haben Gespräche mit Herstellern und Mobilfunkprovidern die Veröffentlichung verzögert.

Über den Exploit kann man von Nutzern unbemerkt Schadcode aus der Ferne ausführen. Als Einfallstor dient dabei die Lücke mit der Bezeichnung CVE-2015-1538, die Zimperium als die kritischste einstuft. Nutzer von Geräten die mindestens Android 5.0 installiert haben, sollen weniger anfällig für die Stagefright-Lücken sein. Hier greifen Schutzmaßnahmen gegen derartige Integer-Overflow-Attacken.

Das Erzeugen des MP4-Videos mit Schadcode gelingt über ein Python-Skript. Öffnet man das Video auf einem verwundbaren Gerät, könne man etwa die Kontrolle über Kamera und Mikrofon übernehmen.

Zimperium hat den Exploit auf einem nicht näher beschriebenen Gerät der Nexus-Serie mit Android 4.0.4 erfolgreich getestet. Im Test der Sicherheitsforscher stellte sich heraus, dass das Ausnutzen der Lücke erst nach mehreren Versuchen funktionierte.

Ende Juli warnte der Sicherheitsforscher Joshua Drake von Zimperium zLabs vor Sicherheitslücken in der Multimedia-Schnittstelle Stagefright von Android-Geräten. Angreifer können Geräte unter anderem über eine MMS-Nachricht oder ein manipuliertes Video auf einer Webseite attackieren und in eine Wanze verwandeln.

Mit der kostenlosen Stagefright Detector App können Nutzer prüfen, ob ihr Gerät für die Stagefright-Lücken anfällig ist. (des)

160 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken im freien DNS-Server Dnsmasq gefährden IoT-Geräte, Linux, Smartphones & Co.

    Kritische Lücken in Dnsmasq gefährden IoT-Geräte, Smartphones, Server & Co.

    Betroffene Softwareentwickler und Hersteller sollten Dnsmasq aus Sicherheitsgründen auf den aktuellen Stand bringen.

  2. Google veröffentlicht Riesen-Patch-Paket für Android

    Blaue Androiden

    94 einzelne Lücken, 10 kritische Sicherheitsprobleme; Googles Android Security Bulletin für den Januar hat es in sich.

  3. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  4. Patchday: Google sichert Android von KitKat bis Nougat ab

    Patchday: Google sichert Android von Ice Cream Sandwich bis Nougat ab

    Neuen Android-Versionen für Googles Nexus- und Pixel-Serie beinhalten Sicherheitsupdates für zum Teil kritische Schwachstellen.

  1. Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

    Lücken in LTS-Ubuntu

    In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

  2. Vom Leben und Sterben der 0days

    Vom Leben und Sterben der 0days

    Viele diskutieren über Zero-Day-Exploits, doch die wenigsten haben je ein lebendiges Exemplar gesehen. Zwei interessante Studien bringen überraschende Erkenntnisse zur Lebenserwartung dieser gefährlichen Spezies.

  3. IT-Sicherheit: Gefährlicher Cocktail

    IT-Sicherheit: Gefährlicher Cocktail

    Zwei Sicherheitsexperten haben sich mit Smartphone-Apps zur Steuerung von industriellen Anlagen und Prozessen beschäftigt – und offensichtlich viele neue Einfallstore für Hacker gefunden.

  1. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  2. Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Googles Fuchsia ist ein Betriebssystem mit eigenem Kernel und kommt als Android-Nachfolger in Frage. Erste Bilder zeigen es im Betrieb auf einem Pixelbook.

  3. Alexa-Sprachsteuerung kommt auf PCs und Smartphones

    Alexa-Sprachsteuerung kommt auf den PC

    Amazon will seine Sprachsteuerung auf PCs und Smartphones bringen. Eine Erweiterung, die das auf Android-Geräten umsetzt, wird bereits in den nächsten Tagen erwartet.

  4. Facebook-"Wahrheitsprüfer" Correctiv verstrickt sich in Widersprüche

    Die Faktenchecker von Correctiv können bislang nicht sagen, nach welchen Kriterien sie "Fake News" auf Facebook kennzeichnen wollen

Anzeige