Google Android - Stagefright, die Mutter aller Sicherheitslücken II

Die Anzahl der Probleme mit der Stagefright-Engine von Android nimmt anscheinend nicht ab, sondern zu.

von Georg Wieselsberger,
02.10.2015 11:32 Uhr

Google Android weist noch mehrere ungepatchte Sicherheitslücken in der Stagefright-Engine auf.(Bildquelle: Google)Google Android weist noch mehrere ungepatchte Sicherheitslücken in der Stagefright-Engine auf.(Bildquelle: Google)

Joshua Drake, der Entdecker der »Stagefright«-Sicherheitslücken hat zwei weitere solche Fehler entdeckt, die es Angreifern sehr einfach machen, Android-Geräte mit Schadsoftware zu infizieren. Es reicht in diesem Fällen aus, eine Webseite mit einer präparierten MP3- oder MP4-Datei zu besuchen und diese abzuspielen. Schon eine Vorschau reicht aus. Diese beiden Fehler sind laut Drake in allen Android-Versionen seit dem Start des Betriebssystems im Jahr 2008 und auch in den neuesten Versionen zu finden. Auf mehr als 75 Prozent aller Smartphones weltweit läuft das Betriebssystem Android von Google. Damit sind laut Sicherheitsexperten zwischen 950 Millionen bis 1,4 Milliarden Nutzer betroffen.

Google will zwar schon am 5. Oktober 2015 einen Patch für seine Nexus-Geräte veröffentlichen, doch bei anderen Herstellern wird es vermutlich länger dauern. Bislang hat nur Motorola zugesagt, entsprechende Updates für die neu entdeckten Fehler zu liefern. Der Termin solle »bald« bekanntgegeben werden. Drake hatte diese neuen Sicherheitslücken aber schon am 15. August 2015 an Google gemeldet. Wie er am 17. September 2015 bekanntgab, hatte er aber nicht nur zwei, sondern gleich 10 solcher Lücken gefunden. Einige davon waren Google jedoch schon bekannt. Laut dem Bericht von Motherboard dürfen noch weitere unentdeckte Sicherheitslücken in Android und dessen Stagefright-Engine stecken.

In den letzten Monaten wurden viele solcher Probleme entdeckt. Durch Ausnutzen mancher dieser Lücken ist es Angreifern möglich, ein Smartphone komplett zu übernehmen. Dazu reicht es bei ungepatchten Geräten aus, die Telefonnummer zu kennen und eine entsprechend manipulierte Nachricht mit einem angehängten Video an diese Nummer zu versenden. Sobald der über diese Lücken installierte Schadcode läuft, können die Angreifer Daten kopieren, löschen, Kamera und Mikrofon ansteuern und laut Drake im Grunde alles machen, was ihnen einfällt. Dazu gehört sogar, dass sich die Nachricht nach der Ankunft direkt selbst löscht und so der Besitzer des Smartphones nicht über ihr Eintreffen informiert wird. In allen Fällen sind Besitzer von Android-Geräten darauf angewiesen, dass der Hersteller einen Patch bereitstellt.

Quelle: Motherboard

Pac-Man 256 - Launch-Trailer zum Mobile-Ableger für iOS und Android 0:38 Pac-Man 256 - Launch-Trailer zum Mobile-Ableger für iOS und Android


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...

ALLE NEWS, VIDEOS UND SPIELE

Zur Themenseite Viel Spaß auf der Gamescom wünschen