Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Jetzt wird’s kritisch: Stagefright-Code veröffentlicht, Android-Sicherheitslücken immer noch nicht gepatcht

Stagefright. (Screenshot: Zimperium/t3n)

Noch ist es nicht gelungen, die kritischen Android-Sicherheitslücken, die als Stagefright bekannt geworden sind, vollständig zu patchen, da macht die US-Sicherheitsfirma Zimperium den Code öffentlich.

Stagefright: Code veröffentlicht

Im Juli hatten die Sicherheitsexperten des US-Unternehmens Zimperium eine Sicherheitslücke bekannt gemacht, die 950 Millionen Android-Nutzer betreffen soll und den Namen Stagefright verpasst bekam. Wenige Tage später wurde bekannt, dass Stagefright-Sicherheitslücken schwerwiegender als zunächst gedacht sind. Noch immer sind nicht alle Geräte gepatcht. Jetzt hat Zimperium auf seiner Website den Stagefright-Code veröffentlicht – für Testzwecke.

Zimperium erklärt die Funktionsweise von „Stagefright”, (Grafik: Zimperium)
Zimperium erklärt die Funktionsweise von „Stagefright”, (Grafik: Zimperium)

Mit dem Patchen der Sicherheitslücken tun sich Google, Mobilfunker und Handyhersteller schwer. Mitte August war entdeckt worden, dass ein erster Patch von Google nicht alle Stagefright-Schwachstellen geschlossen hat, weitere Lücken waren entdeckt worden. Auch nach Samsungs jüngstem Update für Galaxy S6 und S6 Edge sind die Schwachstellen CVE-2015-3864 und CVE-2015-3827 in den Highend-Smartphones für Angreifer zugänglich. Selbst das Google-Smartphone Nexus 5 soll nach Aufspielen aller verfügbaren Patches noch nicht komplett vor Angreifern geschützt sein. Zimperium weist alle Anbieter, die noch keine Patches für die Stagefright-Schwachstellen geliefert haben, an, dies umgehend zu tun.

Stagefright-Code: Zugriff auf Android-Smartphones

Mit dem – nach Bitten von Google und Co. erst mit einiger Verzögerung – veröffentlichten Code (Python) kann ein MP4-File erzeugt werden, das die Schwachstelle CVE-2015-1538 ausnutzt und dem Angreifer den Zugriff auf das attackierte Smartphone ermöglicht. Dadurch kann dieser etwa Fotos aufnehmen oder das Abspielen von Musik starten. Dieser spezielle Angriff funktioniert bei neueren Android-Smartphones nicht, da ab Android 5.0 der dafür nötige Pufferüberlauf auf dem Speicher verhindert wird.

via arstechnica.com

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst