Die vor einem Jahr erstmals gesichtete Android-Sicherheitslücke Stagefright hat die Sicherheitslandschaft für Mobilgeräte nachhaltig verändert. Zu diesem Schluss kommt ihr Entdecker, dern Sicherheitsforscher Joshua Drake von Zimperium, im Gespräch mit eWeek. Nach seiner Zählung hat Google in den vergangenen zwölf Monaten 115 Patches für Lücken im Zusammenhang mit dem Android Media Server herausgegeben.
Während Drake auf das ursprüngliche Stagefright stieß, haben Kollegen später auf viele der verwandten Schwachstellen hingewiesen. Drake sieht das als Zeichen, dass Android Security Rewards – eine Ausweitung von Googles Prämienprogramm für Sicherheitslücken – funktioniert. Er selbst hat für Hinweise im Zusammenhang mit Stagefright rund 50.000 Dollar von Google erhalten – bei einer fürs erste Jahr von Google genannten Prämiensumme von 550.000 Dollar.
Stagefright und seine Nachwehen führten dazu, dass Google ein monatliches Patchprogramm einführte, in Kooperation mit einer ganzen Reihe führender Hardwarehersteller. Da aber dennoch längst nicht alle betroffenen Android-Geräte die bereitgestellten Patches erhalten, sondern oft nur einige wenige Spitzenmodelle, wird Stagefright nach Einschätzung von Drake auch weiter ausgenutzt.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
„Wir glauben, dass Schwachstellen vom Stagefright-Typ in der Vergangenheit und auch gegenwärtig für gezielte Angriffe genutzt werden“, sagt der Zimperium-Forscher. „Wie das bei gezielten Angriffen so ist, fällt die Erkennung aber schwer.“
Das ursprüngliche Stagefright konnte ausgenutzt werden, indem man ein Video per MMS an ein betroffenes Android-Gerät sandte. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen, informierte Zimperium damals. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.
Kurze Zeit später fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Die von Drake erwähnten weiteren 113 Lücken folgten.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…