Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Dennis Schirrmacher 160

Android: Stagefright-Exploit veröffentlicht

Stagefright

Sicherheitsforscher wollen mit ihrem Stagefright-Exploit Hersteller dazu bewegen, Updates herauszugeben.

Die Entdecker der Stagefright-Lücken von Zimperium haben einen funktionierenden Exploit zum Ausnutzen der Schwachstellen veröffentlicht. Damit sollen Hersteller ihre Android-Modelle prüfen, um Updates zu entwickeln.

Anzeige

Bislang kursierte nur ein Proof of Concept im Internet, mit dem man Androids Multimedia-Framework Stagefright zum Absturz bringen kann. Zimperium wollte den Exploit eigentlich schon am 5. August im Rahmen der Hacker-Konferenz Black Hat veröffentlichen. Eigenen Angaben zufolge haben Gespräche mit Herstellern und Mobilfunkprovidern die Veröffentlichung verzögert.

Über den Exploit kann man von Nutzern unbemerkt Schadcode aus der Ferne ausführen. Als Einfallstor dient dabei die Lücke mit der Bezeichnung CVE-2015-1538, die Zimperium als die kritischste einstuft. Nutzer von Geräten die mindestens Android 5.0 installiert haben, sollen weniger anfällig für die Stagefright-Lücken sein. Hier greifen Schutzmaßnahmen gegen derartige Integer-Overflow-Attacken.

Das Erzeugen des MP4-Videos mit Schadcode gelingt über ein Python-Skript. Öffnet man das Video auf einem verwundbaren Gerät, könne man etwa die Kontrolle über Kamera und Mikrofon übernehmen.

Zimperium hat den Exploit auf einem nicht näher beschriebenen Gerät der Nexus-Serie mit Android 4.0.4 erfolgreich getestet. Im Test der Sicherheitsforscher stellte sich heraus, dass das Ausnutzen der Lücke erst nach mehreren Versuchen funktionierte.

Ende Juli warnte der Sicherheitsforscher Joshua Drake von Zimperium zLabs vor Sicherheitslücken in der Multimedia-Schnittstelle Stagefright von Android-Geräten. Angreifer können Geräte unter anderem über eine MMS-Nachricht oder ein manipuliertes Video auf einer Webseite attackieren und in eine Wanze verwandeln.

Mit der kostenlosen Stagefright Detector App können Nutzer prüfen, ob ihr Gerät für die Stagefright-Lücken anfällig ist. (des)

160 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken im freien DNS-Server Dnsmasq gefährden IoT-Geräte, Linux, Smartphones & Co.

    Kritische Lücken in Dnsmasq gefährden IoT-Geräte, Smartphones, Server & Co.

    Betroffene Softwareentwickler und Hersteller sollten Dnsmasq aus Sicherheitsgründen auf den aktuellen Stand bringen.

  2. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  3. Meltdown & Spectre: Immer mehr Malware, echte Angriffe unklar

    Meltdown & Spectre: Immer mehr Malware, echte Angriffe unklar

    Mittlerweile gibt es fast 140 verschiedene Malware-Ausgaben, die versuchen, die Prozessorlücken Meltdown und Spectre zu missbrauchen. Ob das bisher zu konkreten Angriffen auf Nutzer geführt hat, lässt sich nur schwer feststellen.

  4. Ryzenfall, Fallout & Co: AMD bestätigt Sicherheitslücken in Ryzen- und Epyc-Prozessoren

    AMD Ryzen

    Der Chiphersteller AMD konnte die Sicherheitslücken in Epyc- und Ryzen-CPUs sowie Promontory-Chipsätzen nachvollziehen und kündigt Sicherheitspatches für die betroffenen Systeme an.

  1. Vom Leben und Sterben der 0days

    Vom Leben und Sterben der 0days

    Viele diskutieren über Zero-Day-Exploits, doch die wenigsten haben je ein lebendiges Exemplar gesehen. Zwei interessante Studien bringen überraschende Erkenntnisse zur Lebenserwartung dieser gefährlichen Spezies.

  2. IT-Sicherheit: Gefährlicher Cocktail

    IT-Sicherheit: Gefährlicher Cocktail

    Zwei Sicherheitsexperten haben sich mit Smartphone-Apps zur Steuerung von industriellen Anlagen und Prozessen beschäftigt – und offensichtlich viele neue Einfallstore für Hacker gefunden.

  3. Android Smart Lock: Stimmerkennung aktivieren

    Sie möchten Ihr Android-Smartphone per Spacherkennung entsperren? Wir erklären Ihnen, wie Sie die Smart Lock-Funktion einrichten.

  1. Linux-Entwickler: Kernel-Community wird unter eigener Bürokratie zusammenbrechen

    Linux-Entwickler: Kernel-Community wird unter eigener Bürokratie zusammenbrechen

    Die Maintainer des Linux-Kernels werden in ein paar Jahren nicht mehr nachkommen, eingereichte Patches zu bearbeiten. Das System stehe vor dem Kollaps, falls sie es nicht schafften, die Arbeitslast zu verteilen, behauptet Kernel-Entwickler Daniel Vetter.

  2. PCIe-SSDs Samsung 970 Evo und 970 Pro: Schreiben mit 3 GByte/s

    Samsung 970 Evo und 970 Pro: Gutes beschleunigt

    Samsung setzt noch einen drauf: Die neuen PCIe-SSDs der 970-Serie sind vor allem beim Schreiben schneller als ihre Vorgänger.

  3. DIe Tyrannei des Klischees: Über Frank Schätzings KI-Roman

    Die Tyrannei des Schmetterlings

    Frank Schätzing schreibt in "Die Tyrannei des Schmetterlings" über künstliche Intelligenz, Quantencomputer und das Silicon Valley. Spannend? Ja. Interessant? Naja. Unsere Rezension.

  4. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

Anzeige