Stagefright 2.0: Zimperium entdeckt weitere schwere Sicherheitslücken in Android

android 

Gerade erst hat sich die Aufregung um die Stagefright-Lücke in Android wieder gelegt und viele Hersteller haben die Lücke gestopft, da kommt schon die nächste große Katastrophe für Googles Betriebssystem: Der Entdecker der ersten Lücke, Zimperium, hat noch zwei weitere Lücken entdeckt, die ein genau so großes Einfallstor für Angreifer sind und sogar noch mehr Smartphones betreffen als die erste Version. Beide nutzen wieder eine Lücke in Androids Mediaserver aus.


Es gab zwar schon mehrere Lücken in Googles Betriebssystem, aber keine hat bisher einen solchen Wirbel ausgelöst, wie die Stagefright-Lücke. Diese lässt/ließ sich auf Hunderten Millionen Android-Smartphones ausnutzen und das Gerät war ohne Zutun des Besitzers angreifbar. Schadsoftware kann/konnte dem Opfer einfach ein manipuliertes Video senden, das vom Betriebssystem automatisch geöffnet wird, ohne dass der Nutzer dies bemerkt oder etwas dagegen tun kann. Mittlerweile sollte die Lücke gestopft sein, doch nun kommt die nächste.

android stagefright

Die erste neue Lücke, die die Kennung CVE-2015-6602 erhalten hat, befindet sich in der Bibliothek libutils, die wieder einmal für das Öffnen von Mediendateien verantwortlich ist. So lässt sich diese Lücke wieder durch ein manipuliertes Video ausnutzen, das der Nutzer im schlimmsten Falle wieder gar nicht mitbekommt. Da sehr viele Bereiche des Betriebssystems auf diese Lücke zugreifen, könnte sich diese Lücke bei erfolgreicher Ausnutzung zu einem sehr großen Problem entwickeln. Laut den Entdeckern ist diese Lücke seit der ersten Version von Android im System enthalten.

Die zweite Lücke nutzt ebenfalls wieder einen Bug im Mediaserver und klafft in der Bibliothek libstagefright. Auch diese lässt sich über eine manipulierte Video-Datei angreifen, die auf einem beliebigen Weg auf das Smartphone kommen kann. Diese Lücke soll sich in allen Android-Versionen ab 5.0 befinden – ist also ziemlich aktuell. Ob sich diese Lücke auch in den aktuellen Versionen von Android befindet und vielleicht sogar in Marshmallow enthalten ist, haben die Entdecker bisher noch nicht bekannt gegeben. Einen funktionierenden Exploit wollen sie ebenfalls erst dann veröffentlichen, wenn Google die Lücke gestopft hat.



Zimperium hat Google bereits über die beiden neuen Lücken informiert und ein entsprechender Patch soll bereits auf dem Weg sein. Die Nexus-Smartphones sollen schon in der nächsten Woche gepatcht werden, ob auch die aktuellen Modelle 5X und 6P direkt mit dieser Lücke ausgeliefert werden, und dann nachträglich gepatcht werden, ist ebenfalls noch nicht bekannt. Google verhält sich, wahrscheinlich absichtlich, erstaunlich ruhig zu diesem Thema und äußert sich nicht zu den Lücken.

Die Stagefright-Detektor App kann die aktuellen Lücken noch nicht erkennen. Diese Funktionalität möchte man erst dann nachrüsten, wenn Google die Lücke gestopft hat und den Patch auch an die Smartphone-Hersteller ausgerollt hat.

[heise]



Teile diesen Artikel: