ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Stagefright 2.0: Sicherheitslücke erlaubt Zugriff auf Android über MP3 & MP4

Tobias Reuter
87 Kommentare
Stagefright 2.0: Sicherheitslücke erlaubt Zugriff auf Android über MP3 & MP4
Bild: Google

Android-Nutzer sehen sich erneut mit Sicherheitslecks konfrontiert. Während vor einigen Monaten noch MMS und Hangouts-Nachrichten mit speziellen Codes zum Ausnutzen mehrerer Schwachstellen genügten, reichen bei den neuentdeckten Lücken manipulierte Metadaten in MP3s oder Videos im MP4-Format.

Die Stagefright 2.0 titulierten Lecks wurden von Sicherheitsexperten der Zimperium zLabs entdeckt – jenem Unternehmen, das auch schon die vorherigen Stagefright-Schwachstellen aufdeckte. Betroffen seien alle Android-Versionen ab 1.0, also potenziell über eine Milliarde Geräte. Ab Android 5.0 müssen Angreifer eine zusätzliche Sicherheitshürde nehmen.

Schon das Verarbeiten einer korrumpierten MP3 oder eines MP4-Videos ermögliche es, schadhaften Programmcode auszuführen und dadurch die betroffenen Android-Geräte zu kapern. Anschließend hat der Angreifer alle Zugriffsrechte der Medienbibliothek, also unter anderem auch für Kamera und Mikrofon.

Der Nutzer muss entsprechende Dateien gar nicht mal bewusst abspielen, auch das Verarbeiten im Hintergrund reicht bereits aus. Dabei ist es unerheblich, ob die Multimedia-Datei im Browser oder einer App abgespielt wird. Beispielsweise können Nutzer auf manipulierte Webseiten gelockt werden, die korrumpierte Lieder oder Videos automatisch abspielen. Laut Zimperium hat es aber bisher noch keine Angriffe über die neu entdeckten Lücken gegeben.

Wurzel des Übels soll die Systembibliothek libutils sein, auf die viele Android-Bereiche zugreifen. Google wurde von Zimperium schon am 15. August benachrichtigt und hat die Lücke als Problem mit der Kennung CVE-2015-6602 versehen. Der Patch folge nächste Woche für Nexus-Geräte.

Ab Android 5.0 ist es für Angreifer etwas schwieriger, schadhaften Code via MP3 einzuschleusen. Außer dem Sicherheitsleck in libutils muss auch eine Lücke in der Systembibliothek libstagefright (CVE-2015-3876) ausgenutzt werden. Zudem muss der Nutzer die manipulierte Datei manuell öffnen. Für libstagefright hat Google, im Gegensatz zu libutils, noch keine Aktualisierung angekündigt.

Google hat mittlerweile einen Patch für die schon länger bekannten Stagefright-Schwachstellen veröffentlicht, welche über manipulierte MMS oder Hangouts-Nachrichten ausgenutzt werden konnten.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz