App testet Android-Geräte auf Stagefright-Lücken

7. August 2015, 11:06
35 Postings

Der gefährlichste Angriffsvektor ist derzeit wohl MMS

Sicherheitslücken in Googles Betriebssystem Android sorgt für Ungemach. Anfällig ist die Multimedia-Schnittstelle "Stagefright", über die Angreifer etwa mit manipulierten MMS Schadcode auf betroffene Mobilgeräte einschleusen können. "Stagefright" ist seit Version 2.3 (Gingerbread) Teil von Android und kommt zum Abspielen von Multimedia-Dateien zum Einsatz. Auch Apps nutzen die Schnittstelle.

Stagefright Detector App

Mit der "Stagefright Detector App" können nun Nutzer prüfen, ob ihr Android-Gerät von den Lücken betroffen ist. Das Programm prüft das mobile Betriebssystem auf insgesamt sieben Sicherheitslücken ab. Programmiert wurde die App von der Securityfirma Zimperium, deren Mitarbeiter Joshua Drake die Lücken gefunden hat.

Gefährliches MMS

Die Schachstellen können über viele Wege ausgenutzt werden. Der gefährlichste Angriffsvektor ist derzeit wohl MMS – das Programm läuft bei vielen Android-Geräten mit Systemrechten. Ist Googles eigene Hangouts-App als SMS/MMS-Default-Anwendungen definiert, muss die MMS nicht einmal betrachtet werden, da hier die Bilder vom Media Framework automatisch verarbeitet und indiziert werden. In diesem Szenario könnte also ein Angreifer eine Nachricht in der Nacht schicken, auf das Gerät einbrechen, und anschließend die MMS wieder löschen, um seine Spuren zu verwischen.

Dementsprechend rät Zimperium das automatisch Abrufen von MMS abschalten, wenn der Stagefright Detector anschlägt.

zimperium
Auf der Hackerkonferenz Black Hat in Las Vegas war die Lücke ein zentrales Thema.

Nach dem Bekanntwerden der Sicherheitslücke hat Google regelmäßige Updates für seine Geräte versprochen. Das betrifft allerdings nur Googles eigene Nexus-Smartphones und Tablets. Die Nexus-Geräte sollen ab sofort monatliche Software-Aktualisierungen erhalten, kündigte Google am Mittwochabend in einem Blogeintrag an. Die Updates sollen automatisch zur Verfügung gestellt werden. Das erste davon gab es am Mittwoch

Warten auf andere Hersteller

Google hatte bereits ein Sicherheits-Update an die Hersteller von Android-Handys geschickt. Doch die Handybauer entscheiden selbst, ob und wann sie solche Updates an ihre Nutzer weiterleiten. Daher müssen Besitzer von Android-Handys wohl noch auf Sicherheits-Updates warten. (red, 7.8. 2015)

  • Auch in der WebStandard-Redaktion wurden Geräte bereits getestet.
    foto: webstandard

    Auch in der WebStandard-Redaktion wurden Geräte bereits getestet.

Share if you care.