Die vor einem Jahr erstmals gesichtete Android-Sicherheitslücke Stagefright hat die Sicherheitslandschaft für Mobilgeräte nachhaltig verändert. Zu diesem Schluss kommt ihr Entdecker, dern Sicherheitsforscher Joshua Drake von Zimperium, im Gespräch mit eWeek. Nach seiner Zählung hat Google in den vergangenen zwölf Monaten 115 Patches für Lücken im Zusammenhang mit dem Android Media Server herausgegeben.
Während Drake auf das ursprüngliche Stagefright stieß, haben Kollegen später auf viele der verwandten Schwachstellen hingewiesen. Drake sieht das als Zeichen, dass Android Security Rewards – eine Ausweitung von Googles Prämienprogramm für Sicherheitslücken – funktioniert. Er selbst hat für Hinweise im Zusammenhang mit Stagefright rund 50.000 Dollar von Google erhalten – bei einer fürs erste Jahr von Google genannten Prämiensumme von 550.000 Dollar.
Stagefright und seine Nachwehen führten dazu, dass Google ein monatliches Patchprogramm einführte, in Kooperation mit einer ganzen Reihe führender Hardwarehersteller. Da aber dennoch längst nicht alle betroffenen Android-Geräte die bereitgestellten Patches erhalten, sondern oft nur einige wenige Spitzenmodelle, wird Stagefright nach Einschätzung von Drake auch weiter ausgenutzt.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
„Wir glauben, dass Schwachstellen vom Stagefright-Typ in der Vergangenheit und auch gegenwärtig für gezielte Angriffe genutzt werden“, sagt der Zimperium-Forscher. „Wie das bei gezielten Angriffen so ist, fällt die Erkennung aber schwer.“
Das ursprüngliche Stagefright konnte ausgenutzt werden, indem man ein Video per MMS an ein betroffenes Android-Gerät sandte. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen, informierte Zimperium damals. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.
Kurze Zeit später fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Die von Drake erwähnten weiteren 113 Lücken folgten.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
