Categories: MobileSmartphone

Samsung schließt Stagefright-Lücke

Samsung hat mit der Auslieferung aktualisierter Firmwares für seine Smartphones und Tablets begonnen, die die letzte noch offene Stagefright-Schwachstelle CVE-2015 3864 schließen. Hierzulande erreicht seit einigen Tagen Note-4-Anwender ein entsprechendes Update mit der Firmware-Kennung 910FXXU1COI3.

Bereits Anfang des Monats hatte der Konzern Sicherheitsupdates ausgeliefert, die fünf der sechs Stagefright-Schwachstellen beseitigten. Welche Geräte als nächstes mit dem Update versorgt werden, ist nicht bekannt. Auch nicht, welche Geräte überhaupt eine Aktualisierung erhalten. Aus amerikanischen Provider-Foren ist jedoch ersichtlich, dass selbst für das 2012 erschienene Galaxy S3 ein Patch existiert.

Auch andere Hersteller haben damit begonnen, Updates für Geräte auszuliefern, die die Stagefright-Lücke komplett schließen. Hierzulande haben bereits das LG G3 und das G Flex 2 entsprechende Updates erhalten. In den USA ist angeblich auch das G4 mit einem Patch versorgt worden. Auch für neuere Sony- und HTC-Smartphones sind Aktualisierungen verfügbar.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, kann ein präpariertes Video, das per MMS an ein Gerät gesendet wird, die Sicherheitslücken auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts ist sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Damit sich Hersteller mit der Auslieferung eines entsprechendes Patches beeilen, hatte Zimperium Anfang September einen Exploit für die Lücke veröffentlicht. Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt. Der veröffentlichte Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Diese hatten allerdings die Hersteller wie Samsung bereits zum Zeitpunkt der Veröffentlichung geschlossen.

Mit der Stagefright Detector App können Anwender überprüfen, ob ihr Gerät anfällig für die Stagefright-Lücken ist. Die Entwickler der beliebtesten Android-Custom-Rom Cyanogen hatten die Schwachstellen bereits im August beseitigt (Screenshot: ZDNet.de).
HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

2 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

2 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

2 Tagen ago