Categories: MobileSmartphone

Samsung schließt Stagefright-Lücke

Samsung hat mit der Auslieferung aktualisierter Firmwares für seine Smartphones und Tablets begonnen, die die letzte noch offene Stagefright-Schwachstelle CVE-2015 3864 schließen. Hierzulande erreicht seit einigen Tagen Note-4-Anwender ein entsprechendes Update mit der Firmware-Kennung 910FXXU1COI3.

Bereits Anfang des Monats hatte der Konzern Sicherheitsupdates ausgeliefert, die fünf der sechs Stagefright-Schwachstellen beseitigten. Welche Geräte als nächstes mit dem Update versorgt werden, ist nicht bekannt. Auch nicht, welche Geräte überhaupt eine Aktualisierung erhalten. Aus amerikanischen Provider-Foren ist jedoch ersichtlich, dass selbst für das 2012 erschienene Galaxy S3 ein Patch existiert.

Auch andere Hersteller haben damit begonnen, Updates für Geräte auszuliefern, die die Stagefright-Lücke komplett schließen. Hierzulande haben bereits das LG G3 und das G Flex 2 entsprechende Updates erhalten. In den USA ist angeblich auch das G4 mit einem Patch versorgt worden. Auch für neuere Sony- und HTC-Smartphones sind Aktualisierungen verfügbar.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, kann ein präpariertes Video, das per MMS an ein Gerät gesendet wird, die Sicherheitslücken auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts ist sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Damit sich Hersteller mit der Auslieferung eines entsprechendes Patches beeilen, hatte Zimperium Anfang September einen Exploit für die Lücke veröffentlicht. Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt. Der veröffentlichte Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Diese hatten allerdings die Hersteller wie Samsung bereits zum Zeitpunkt der Veröffentlichung geschlossen.

Mit der Stagefright Detector App können Anwender überprüfen, ob ihr Gerät anfällig für die Stagefright-Lücken ist. Die Entwickler der beliebtesten Android-Custom-Rom Cyanogen hatten die Schwachstellen bereits im August beseitigt (Screenshot: ZDNet.de).
HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

1 Tag ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

1 Tag ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

1 Tag ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

3 Tagen ago