Android-Lücke Stagefright: Weiterer Patch nötig

Google räumt ein, dass die Schwachstelle nicht vollständig behoben ist. Es will einen überarbeiteten Patch mit dem monatlichen Sicherheitupdate im September nachliefern. Sicherheitsforscher fanden heraus, dass Android-Smartphones noch immer durch eine manipulierte MP4-Datei zum Absturz gebracht werden können.

Google hat bestätigt, dass die Sicherheitslücke Stagefright noch nicht vollständig behoben ist. Ein weiterer Patch soll das von Exodus Intelligence entdeckte und gemeldete Problem beheben, dass Android-Smartphones unter bestimmten Umständen noch immer angreifbar sind.

Stagefright (Bild: Zimperium)„Wir haben den Fix bereits an unsere Partner geschickt, um die Nutzer zu schützen“, heißt es in Googles Stellungnahme. „Nexus 4 / 5 / 6 / 7 / 9 / 10 sowie Nexus Player werden das OTA-Update mit dem monatlichen Sicherheitupdate im September erhalten.“ Das gilt vermutlich auch für andere Geräte mit monatlicher Patch-Auslieferung, was aber voraussetzt, dass Hersteller oder Netzbetreiber mitziehen. Solche regelmäßigen Sicherheitsupdates für Android kündigten Google und Samsung in diesem Monat an, nachdem Stagefright als Mutter aller Android-Lücken sowie mit Certifi-gate eine weitere kritische Schwachstelle bekannt wurde,

Gegen Stagefright, das sich nicht nur über MMS ausnutzen lässt, stellte Google zunächst einen Set von Patches bereit, zu denen der Stagefright-Entdecker Zimperium beitrug. Als die gepatchte Firmware zugänglich wurde, prüften jedoch die Sicherheitsforscher von Exodus Intelligence auf weitere Schwachstellen und wurden fündig. Es gelang ihnen, eine MP4-Datei so zu manipulieren, dass sie einen der Patches umgehen und einen eben erst akualisierten Nexus 5 zum Absturz bringen konnten. Die Sicherheitsforscher schätzen, dass rund 950 Millionen Google-Kunden von dem Fehler betroffen sind. Datendiebstahl oder Code-Ausführung scheint der fehlerhafte Patch jedoch nicht zu ermöglichen.

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse anzeigen

Loading ... Loading ...

Exodus Intelligence kritisiert Google dafür, noch immer den fehlerhaften Patch auszuliefern und damit die Nutzer in Sicherheit zu wiegen. Mit Stagefright-Entdecker Zimperium arbeiten die Sicherheitsforscher zusammen, um die Stagefright Detector App für die Erkennung der noch bestehenden Anfälligkeit anzupassen. „Wir haben auch vor, sie auf weitere Mängel aufmerksam zu machen, die wir kürzlich entdeckt haben“, schreiben sie in einem Blogeintrag, ohne diese Andeutung näher zu erläutern.

Die schnelle Öffentlichmachung begründete Exodus Intelligence damit, dass sie das Problem Google am 7. August mitgeteilt und noch immer keine Antwort auf ihre Frage erhalten hätten, wann ein überarbeiteter Patch kommt. Zudem sei der ursprüngliche Fehler schon vor über 120 Tagen an Google gemeldet worden – und damit wären die üblichen 90 Tage längst überschritten, nach denen Sicherheitsforscher sich berechtigt sehen, von den Herstellern ungepatchte Schwachstellen öffentlich zu machen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Samsung Galaxy S6 und S6 Edge im Test

Mit den Galaxy-S6-Smartphones liefert Samsung zwei Android-Geräte, die dank der Sicherheitslösung KNOX besonders gut für den Einsatz in Unternehmen geeignet sind. Dank Gestensteuerung und hervorragender Performance sind sie auch für den Büro-Alltag bestens gewappnet. Auch äußerlich machen die S6-Modelle eine gute Figur.

Themenseiten: Android, Google, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Android-Lücke Stagefright: Weiterer Patch nötig

Kommentar hinzufügen
  • Am 14. August 2015 um 16:27 von C

    Was sich Google bzgl. Patchen von Android erlaubt, ist ein Skandal erster Güte!

    Daher: kein Android von Google mehr!

    • Am 15. August 2015 um 14:15 von Wieso?

      Google behebt die Lücken und verteilt die Updates. Was ist daran so skandalös?

  • Am 15. August 2015 um 0:38 von Heinz

    Und warum verteilt Gurgel das nicht über den PlayStore an die Nutzer?
    Warum muss noch immer der lange Weg über die Inkompetenz der Hersteller gehen, der ja bekanntlich meist eine Sackgasse ist?
    Das Verhalten der Hersteller ist schon rechtlich fragwürdig …
    Zukünftig sollte man ein Smarty nur eines Herstellers in Betracht ziehen, der die Updates kurzfristig auch an seine Kunden weiter gibt.
    Vielleicht wachen dann ein paar dieser digitalen Troglodyten auf ?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *