Drei Jahre alte Lücke bedroht Smartphones und Smart TVs

Sicherheitsforschern zufolge sind rund 6 Millionen Geräte aufgrund einer Schwachstelle in einer UPnP-Bibliothek aus dem Jahr 2012 einem Risiko ausgesetzt.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
Drei Jahre alte Lücke bedroht Smartphones und Smart TVs

(Bild: Trend Micro)

Lesezeit: 1 Min.

Trend Micro hat 547 gefährdete Apps entdeckt, die noch die verwundbare UPnP-Bibliothek libupnp einsetzen. Die Lücke in der Bibliothek wurde im Dezember 2012 geschlossen; viele Hersteller setzen aber anscheinend noch angreifbare Versionen ein.

Libupnp kommt etwa beim Streaming von Medien via DLNA zum Einsatz. Davon sind aber nicht nur etwa Smartphones und Smart TVs betroffen, sondern auch Router und NAS-Geräte.

Den Sicherheitsforschern zufolge finden sich 326 von den untersuchten Apps in Google Play. Darunter etwa der AirSmartPlayer und die Smart TV Remote von TV-Hersteller Hisense. Auch die Android-Version von Netflix setze auf eine alte Version von libupnp. Dabei seien aber die Fixes eingebunden und die App soll nicht gefährdet sein.

Nimmt ein Angreifer die Schwachstelle ins Visier, genügt Trend Micro zufolge ein präpariertes Simple-Service-Discovery-Protocol-Paket (SSDP), um einen Speicherüberlauf zu provozieren. Zudem müsse der UDP-Port 1900 offen sein. Anschließend seien Angreifer im schlimmsten Fall in der Lage, eigenen Code auszuführen. Das könnte zum Kapern von Geräten führen.

Die Sicherheitsforscher versichern, dass sie betroffene App-Anbieter informiert haben. Die ersten sollen schon gefixte Version veröffentlicht haben. (des)