Wie Zimperium Mobile Security berichtet, ist Android anfällig für Schadcode in Videodateien. Ein Angreifer kann die Schwachstelle angeblich durch den Versand Beispielsweise einer MMS-Nachricht verwerten. Möglich soll damit der Zugriff auf das Mikrofon, die Kameras und die meisten Kernfunktionen von Android sein. Die Fähigkeit Schadcode zu aktivieren kann ohne Wissen und ohne Nutzeraktivität erlangt werden.
Zimperium Mobile Security will erst anlässlich der „Black Hat“ im August zu der als besonders schwerwiegend eingestuften Android-Schwachstelle ausführlicher informieren.
Google wurde bereits in Kenntnis gesetzt und hat entsprechende Gegenmaßnahmen eingeleitet.
Update: Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien... So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.
Quelle: Winfuture
Zimperium Mobile Security will erst anlässlich der „Black Hat“ im August zu der als besonders schwerwiegend eingestuften Android-Schwachstelle ausführlicher informieren.
Google wurde bereits in Kenntnis gesetzt und hat entsprechende Gegenmaßnahmen eingeleitet.
Update: Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien... So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.
-Golem
Quelle: Winfuture
Zuletzt bearbeitet: