Galaxy-Update: Stagefright-Lücken nicht geschlossen

Samsung hat vor wenigen Tagen hierzulande mit der Auslieferung des mit FXXU2COH2 bezeichneten Updates für das Galaxy S6 und S6 Edge begonnen. Die Aktualisierung trägt als Build-Datum 12.8.2015 und weist auf einem S6 Edge einen Umfang von 245 MByte auf. Sie bringt Funktionen, die Samsung kürzlich zur Vorstellung seiner Phablet-Versionen Note 5 und S6 Edge+ präsentiert hat. Dazu zählt beispielsweise die Möglichkeit, neben Kontakten auch Anwendungen für die seitliche Schnellzugriffsleiste zu konfigurieren.

Mit der aktuellen Firmware unterstützt Samsung auf den Galaxy-S6-Modellen mit der Kamera-App die Live-Broadcasting-Funktion für Youtube. Außerdem soll die Audioverstärkereinheit durch UHQ-Upscale einen besseren Klang erzeugen. Neu sind auch die abgerundeten Icons für vorinstallierte Apps. Zudem enthält die Firmware Unterstützung für Samsung Pay und eine darauf abgestimmte Knox-Version. Die seit Ende Juli als Stagefright bekannten Sicherheitslücken in der Android-Multimedia-Bibliothek schließt das Update nicht vollständig. Nach wie vor sind die Schwachstellen CVE-2015-3864 und CVE-2015-3827 für Angreifer zugänglich.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, muss ein Video per MMS an ein Gerät gesendet werden, um die Android-Lücke auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Darüber hinaus ist der in den Galaxy-Modellen integrierte Browser noch immer anfällig für die im Mai entdeckte HTTPS-Schwachstelle Logjam. Diese Lücke hat Google in der für das Darstellen von HTML-Code gedachten Android-Komponente Webview inzwischen geschlossen. Das zeigt auch ein Test mit dem WebView Browser auf dem S6 Edge. Trotzdem weist der Test von Sicherheitsanbieter Qualys weiterhin den integrierten Samsung-Browser als anfällig aus. Offenbar nutzt er nicht WebView, um Webseiten darzustellen.