Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Ronald Eikenberg 594

Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu

Stagefright

Noch bevor die Sicherheitslücken offiziell auf der Hackerkonferenz vorgestellt wurden kursiert eine Anleitung zum Bau eines Proof-of-Concept im Netz. Ferner soll ein russisches Unternehmen bereits einen Exploit verkaufen.

Die Einschläge kommen näher: Ein chinesisches Blog hat weitere Details zu einer der kritischen Stagefright-Lücken in Android veröffentlicht – darunter auch erste Schritte zum Bau eines Exploits. Wenige Änderungen an einer beliebigen MP4-Videodatei reichen aus, um mit ihr Androids Multimedia-Framework Stagefright zum Absturz zu bringen. Dies konnte heise Security nachvollziehen. Es kommt zu einem Heap Overflow, den ein Angreifer zum Ausführen von Schadcode missbrauchen kann. Bleibende Schäden kann eine nach der Anleitung präparierte Datei jedoch nicht anrichten.

Anzeige

Man muss fest damit rechnen, dass bereits weitere Exploits in der Entwicklung sind und im Laufe der nächsten Stunden oder Tage ihren Weg ins Netz finden werden. Wertvolle Details liefern Exploit-Entwicklern auch die Änderungen am Android-Quellcode, die jedermann frei einsehen kann. Laut eines Forbes-Berichts soll sich ein passender Proof-of-Concept bereits in dem Pentesting-Tool VulnDisco befinden, das der russische Hersteller Intevydis seiner zahlenden Kundschaft zugänglich macht – darunter Regierungsorganisationen.

Weitere Details zu den Schwachstellen wird ihr Entdecker Joshua Drake am kommenden Mittwoch auf der Hackerkonferenz BlackHat in Las Vegas vorstellen. Er arbeitet für die Security-Firma Zimperium, die angekündigt hat, spätestens am 24. August selbst ein Proof-of-Concept herauszugeben. Sollte diesem Termin jemand zuvorkommen, will das Unternehmen die Veröffentlichung vorziehen.

Sobald Angriffscode im Netz kursiert, der echten Schaden anrichtet, haben die meisten Android-Nutzer ein echtes Problem: Angriffslustige Mediendateien können auf vielfältige Weisen Schadcode ins Smartphone oder Tablet einschleusen – die verwundbare Stagefright-Schnittstelle wird von etlichen Apps zum Abspielen von Multimedia-Inhalten genutzt. in Angreifer muss seinem Opfer in spe lediglich ein verseuchtes Video per MMS schicken, um dessen Smartphone dauerhaft zu kompromittieren. Wie der Antivirenhersteller TrendMicro demonstriert, gelingt die Stagefright-Attacke aber ebenso gut über Webseiten und Apps.

Nach derzeitigem Kenntnisstand sind so gut wie alle Android-Geräte auf die ein oder andere Weise durch die Lücken angreifbar – viele davon über verseuchte MMS. Eine derartig Hohe Trefferwahrscheinlichkeit weckt freilich Begehrlichkeiten bei Cyber-Ganoven, die mit ihren Erpressungstrojanern und Online-Banking-Malware längst in der Android-Welt angekommen sind. Schützen kann man sich in den meisten Fällen nur, indem man einzelne Angriffswege blockiert – etwa, indem man den MMS-Empfang abschaltet.

Vollständigen Schutz vor Stagefright-Expoits kann nur ein Firmware-Update gewährleisten, in das die entsprechenden Patches eingearbeitet wurden. Solche bieten derzeit allerdings nur wenige Hersteller an – etwa Google für sein Nexus 6. Auch der Umstieg auf die alternative Android-Distribution CyanogenMod hilft, da deren Entwickler die Stagefright-Patches bereits in Version 11 und 12 eingebaut haben. CyanogenMod wird für zahlreiche Android-Geräte angeboten. (rei)

594 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken im freien DNS-Server Dnsmasq gefährden IoT-Geräte, Linux, Smartphones & Co.

    Kritische Lücken in Dnsmasq gefährden IoT-Geräte, Smartphones, Server & Co.

    Betroffene Softwareentwickler und Hersteller sollten Dnsmasq aus Sicherheitsgründen auf den aktuellen Stand bringen.

  2. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  3. Löchriger Plug-and-Play-Dienst "Smart Install" gefährdet Cisco-Switches

    Cisco

    Nicht zum ersten Mal warnen Sicherheitsforscher vor potenziellen Schwachstellen in Ciscos "Smart Install"-Software. Wer wirklich smart ist, sollte diese angesichts einer aktuellen Angriffswelle komplett deaktivieren.

  4. 500 Millionen Spieler von Blizzard-Computerspielen waren über Lücke angreifbar

    500 Millionen Spieler von Blizzard-Computerspielen waren über Lücke angreifbar

    Im Blizzard Update Agent klaffte eine Sicherheitslücke, über die Angreifer Schadcode auf Computer hätten ausführen können. Eine abgesicherte Version ist erschienen.

  1. Facebook-Videos herunterladen - so geht's

    Facebook Logo

    Sie möchten ein Facebook-Video auf Ihr iPhone, Android-Smartphone oder Ihren PC herunterladen? Wir zeigen Ihnen, wie das geht.

  2. Per VPN anonym surfen - so geht's

    Anonym surfen und downloaden - und das auch noch flott? Das geht nur mit Hilfe eines VPN-Dienstes.

  3. Android: Gerätemanager einrichten - so geht's

    Der Android-Geräte-Manager ("Find My Device") hilft, wenn Sie Ihr Smartphone verloren haben. Wir zeigen Ihnen, wie Sie die App richtig einrichten.

  1. Test: Skoda Karoq 2.0 TDI

    Skoda Karoq

    Der neue Skoda Karoq ist eine Mixtur bekannter Zutaten, die einigen Konkurrenten schwer zu schaffen machen wird. Das Kompakt-SUV überrascht an keiner Stelle und wird vielleicht gerade deshalb gefragt sein. Im Test die sicher beliebte Kombination 2.0 TDI, DSG und Allradantrieb

  2. Alpina B7 Biturbo: Vor der Basis

    Alpina

    Der neue Alpina B7 Biturbo kommt vor dem ähnlich kräftigen BMW 760Li auf den Markt, setzt aber andere Akzente. Schon die Maschine unterscheidet sich: Alpina setzt auf einen Achtzylinder, BMW baut einen Zwölfzylinder ein

  3. Trump und Macron: Gegen die Hegemonie Irans den Nahen Osten neu ordnen

    Macron will nun auch die Atomvereinbarung mit Iran mit zusätzlichen Regelungen ergänzen. Dazu soll auch die "Präsenz Irans in der Region" verhandelt werden

  4. Mit aller Härte des Gesetzes gegen Antisemitismus?

    Wie Deutschland den Antisemitismus austreiben will und auch Linke und Liberale einen auf "Law and Order" machen. Kommentar

Anzeige