Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.035 Produkten

Ronald Eikenberg 594

Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu

Stagefright

Noch bevor die Sicherheitslücken offiziell auf der Hackerkonferenz vorgestellt wurden kursiert eine Anleitung zum Bau eines Proof-of-Concept im Netz. Ferner soll ein russisches Unternehmen bereits einen Exploit verkaufen.

Die Einschläge kommen näher: Ein chinesisches Blog hat weitere Details zu einer der kritischen Stagefright-Lücken in Android veröffentlicht – darunter auch erste Schritte zum Bau eines Exploits. Wenige Änderungen an einer beliebigen MP4-Videodatei reichen aus, um mit ihr Androids Multimedia-Framework Stagefright zum Absturz zu bringen. Dies konnte heise Security nachvollziehen. Es kommt zu einem Heap Overflow, den ein Angreifer zum Ausführen von Schadcode missbrauchen kann. Bleibende Schäden kann eine nach der Anleitung präparierte Datei jedoch nicht anrichten.

Anzeige

Man muss fest damit rechnen, dass bereits weitere Exploits in der Entwicklung sind und im Laufe der nächsten Stunden oder Tage ihren Weg ins Netz finden werden. Wertvolle Details liefern Exploit-Entwicklern auch die Änderungen am Android-Quellcode, die jedermann frei einsehen kann. Laut eines Forbes-Berichts soll sich ein passender Proof-of-Concept bereits in dem Pentesting-Tool VulnDisco befinden, das der russische Hersteller Intevydis seiner zahlenden Kundschaft zugänglich macht – darunter Regierungsorganisationen.

Weitere Details zu den Schwachstellen wird ihr Entdecker Joshua Drake am kommenden Mittwoch auf der Hackerkonferenz BlackHat in Las Vegas vorstellen. Er arbeitet für die Security-Firma Zimperium, die angekündigt hat, spätestens am 24. August selbst ein Proof-of-Concept herauszugeben. Sollte diesem Termin jemand zuvorkommen, will das Unternehmen die Veröffentlichung vorziehen.

Sobald Angriffscode im Netz kursiert, der echten Schaden anrichtet, haben die meisten Android-Nutzer ein echtes Problem: Angriffslustige Mediendateien können auf vielfältige Weisen Schadcode ins Smartphone oder Tablet einschleusen – die verwundbare Stagefright-Schnittstelle wird von etlichen Apps zum Abspielen von Multimedia-Inhalten genutzt. in Angreifer muss seinem Opfer in spe lediglich ein verseuchtes Video per MMS schicken, um dessen Smartphone dauerhaft zu kompromittieren. Wie der Antivirenhersteller TrendMicro demonstriert, gelingt die Stagefright-Attacke aber ebenso gut über Webseiten und Apps.

Nach derzeitigem Kenntnisstand sind so gut wie alle Android-Geräte auf die ein oder andere Weise durch die Lücken angreifbar – viele davon über verseuchte MMS. Eine derartig Hohe Trefferwahrscheinlichkeit weckt freilich Begehrlichkeiten bei Cyber-Ganoven, die mit ihren Erpressungstrojanern und Online-Banking-Malware längst in der Android-Welt angekommen sind. Schützen kann man sich in den meisten Fällen nur, indem man einzelne Angriffswege blockiert – etwa, indem man den MMS-Empfang abschaltet.

Vollständigen Schutz vor Stagefright-Expoits kann nur ein Firmware-Update gewährleisten, in das die entsprechenden Patches eingearbeitet wurden. Solche bieten derzeit allerdings nur wenige Hersteller an – etwa Google für sein Nexus 6. Auch der Umstieg auf die alternative Android-Distribution CyanogenMod hilft, da deren Entwickler die Stagefright-Patches bereits in Version 11 und 12 eingebaut haben. CyanogenMod wird für zahlreiche Android-Geräte angeboten. (rei)

594 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken im freien DNS-Server Dnsmasq gefährden IoT-Geräte, Linux, Smartphones & Co.

    Kritische Lücken in Dnsmasq gefährden IoT-Geräte, Smartphones, Server & Co.

    Betroffene Softwareentwickler und Hersteller sollten Dnsmasq aus Sicherheitsgründen auf den aktuellen Stand bringen.

  2. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  3. Google lässt noch eine Microsoft-Lücke vom Stapel

    Google lässt noch eine Microsoft-Lücke vom Stapel

    Oops, they did it again: Erneut hat Google detaillierte Informationen über eine Sicherheitslücke in einem Microsoft-Produkt veröffentlicht, bevor die Lücke geschlossen wurde. Dieses Mal trifft es Internet Explorer und Edge.

  4. BlackBerry, Google und LG patchen unter anderem abermals kritische Stagefright-Lücke

    BlackBerry, Google und LG patchen unter anderem abermals kritische Stagefright-Lücke

    Bereits seit Juni 2015 kämpft Google gegen kritische Schwachstellen in Multimedia-Komponenten von Android. Der alleinige Empfang einer MMS kann ein Gerät schachmatt setzen. Nun liefern verschiedene Hersteller erneut Sicherheitsupdates.

  1. Facebook-Videos herunterladen - so geht's

    Facebook Logo

    Du möchtest ein Facebook-Video auf dein iPhone, Android-Smartphone oder deinen PC herunterladen? Wir zeigen dir, wie das geht.

  2. Die Neuerungen von Linux 4.5

    Die Neuerungen von Linux 4.5

    Einige aktuelle Radeon-Grafikkarten können mit dem neuen Linux-Kernel deutlich mehr 3D-Performance liefern. Die neue Version unterstützt den Raspberry Pi besser und schützt vor Hardware-Defekten durch unbedachte Löschbefehle. Eine ganze Latte neuer und weiterentwickelter Treiber verbessert die Hardware-Unterstützung.

  3. iTunes-Mediathek mit Android synchronisieren

    Du möchtest von deinem Android-Smartphone auf deine iTunes-Mediathek zugreifen? Dann folge unserer tipps+tricks-Anleitung.

  1. Alexa-Sprachsteuerung kommt auf PCs und Smartphones

    Alexa-Sprachsteuerung kommt auf den PC

    Amazon will seine Sprachsteuerung auf PCs und Smartphones bringen. Eine Erweiterung, die das auf Android-Geräten umsetzt, wird bereits in den nächsten Tagen erwartet.

  2. Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Googles Fuchsia ist ein Betriebssystem mit eigenem Kernel und kommt als Android-Nachfolger in Frage. Erste Bilder zeigen es im Betrieb auf einem Pixelbook.

  3. 60 Jahre Honda Super Cub

    Zweirad

    Was ist das meistgebaute Kraftfahrzeug der Welt? Spontan werden die meisten wahrscheinlich auf den VW Golf oder Toyota Corolla tippen, aber weit gefehlt, es ist ein Motorrad - die unscheinbare Honda Super Cub, deren Siegeszug vor 60 Jahren begann, und die mehr als 100 Million Mal gebaut wurde

  4. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach

    Fataler Konstruktionsfehler im besonderen anwaltlichen Postfach?

    Markus Drenger und Felix Rohrbach vom Chaos Darmstadt haben ihre Erkenntnisse zum beA am Dienstagabend an der TU Darmstadt erneut präsentiert. Und es sieht ganz danach aus, dass die Client-Software einen irreparablen Konstruktionsfehler hat.

Anzeige