[Technik] "Stagefright" gefährdet fast eine Milliarde Smartphones (Update)

Wie Zimperium Mobile Security berichtet, ist Android anfällig für Schadcode in Videodateien. Ein Angreifer kann die Schwachstelle angeblich durch den Versand Beispielsweise einer MMS-Nachricht verwerten. Möglich soll damit der Zugriff auf das Mikrofon, die Kameras und die meisten Kernfunktionen von Android sein. Die Fähigkeit Schadcode zu aktivieren kann ohne Wissen und ohne Nutzeraktivität erlangt werden.

Zimperium Mobile Security will erst anlässlich der „Black Hat“ im August zu der als besonders schwerwiegend eingestuften Android-Schwachstelle ausführlicher informieren.

Google wurde bereits in Kenntnis gesetzt und hat entsprechende Gegenmaßnahmen eingeleitet.

Update: Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien... So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.

-Golem​

Quelle:

You do not have permission to view link please Anmelden or Registrieren

 

[electric.larry]

Golem.de berichtet heute über einen Fehler im Stagefright Patch von Google:

Exodus Intelligence hatte den Fehler im Patch am 7. August 2015 bemerkt und Google umgehend informiert - und jetzt die Öffentlichkeit darüber in Kenntnis gesetzt. Üblicherweise wird Herstellern eine deutlich längere Zeitspanne eingeräumt, um ein gefundenes Sicherheitsloch zu beseitigen. Exodus hat sich aber anders entschieden, weil der fehlerhafte Patch im direkten Zusammenhang mit der Sicherheitslücke stehe, über die Google bereits seit Monaten informiert sei.

Weiters wird berichtet, dass es erst im September einen weiteren Patch für Android geben werde, obwohl dieser bereits an die Gerätehersteller verteilt worden sei. Einzig für Cyanogen steht ein korrigierter Patch bis Ende des Monats in Aussicht:

Einzig für Cyanogenmod wurde ein Update bis Ende des Monats versprochen, dann soll auch der fehlerhafte Patch ausgetauscht sein.

Der Stagefright Detecotr sei indessen nicht aktualisiert worden und wiege Benutzer in falsche Sicherheit:

Darüber hinaus konnte die Stagefright Detector App von Zimperium noch nicht aktualisiert werden. Derzeit gibt die App noch vor, dass ein System geschützt sei, wenn die aktuellen Patches installiert sind. Exodus Intelligence arbeite mit Zimperium daran, den fehlerhaften Patch als solchen zu erkennen.

You do not have permission to view link please Anmelden or Registrieren

 

[TRON2]

Nachdem Sicherheitsforscher vor Wochen die Sicherheitslücke publik gemacht haben, warnen sie nun vor Stagefright 2.0. Die Schwachstelle könne mithilfe von MP3- und MP4-Dateien ausgenutzt werden.