SicherheitslĂĽcken im Android-Multimedia-System eskalieren
Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.
Vor wenigen Tagen hieß es noch, dass Angreifer mit präparierten Videos Android-Geräte lahm legen könnten. Doch es kommt noch schlimmer: Sicherheitsforscher von Trend Micro haben davor gewarnt, dass modifizierte MP4-Dateien das Multimedia-System von Android nicht nur zum Absturz bringen, sondern es auch für einen Heap Overflow anfällig sei. Darüber ließe sich Code einschleusen, der dann mit den Rechten des Mediaserver-Prozesses ausgeführt würde.
Damit eskaliert das potenzielle Denial-of-Service-Szenario zu einem weit schlimmeren, aus der Liga "Remote Code Execution". Betroffen sind alle Versionen des mobilen Betriebssystems von 4.0.1 bis 5.1.1. Laut Trend Micro sind diese Versionen im Einsatz auf 94 Prozent aller heute genutzten Android-Geräte.
Die neue Sicherheitslücke weist zudem Parallelen zu Stagefright auf, denn auch hier sind Android-Smartphones über Kurznachrichten angreifbar. Der neue Angriff ist aber nicht auf MMS beschränkt. Den Forschern von Trend Micro gelang es auch, manipulierte Videos in Webseiten einzubetten. Sie hatten Google bereits am 19. Mai 2015 über diese Lücke informiert. Das Android-Security-Team hat am 22. Juli einen Patch freigegeben. Wann dieser auf betroffenen Geräten installiert wird, hängt von den Hardware-Herstellern ab. ()