Android Mediaserver: Neue Lücke betrifft Millionen Smartphones

Die Geschichte um den von Sicherheitslücken geplagten Mediaserver von Android-Geräten wird weitergeschrieben und nach den Stagefright-Schwachstellen tut sich nun eine weitere Lücke auf.

In Pocket speichern vorlesen Druckansicht 273 Kommentare lesen
Android

(Bild: dpa, Andrea Warnecke)

Lesezeit: 2 Min.

Der Mediaserver von Android-Smartphones und -Tablets ist auf noch vielfältigere Weise angreifbar als gedacht. Nach der Stagefright-Affäre steht nun die Sicherheitslücke mit der Kennung CVE-2015-3842 in der AudioEffect-Komponente im Fokus von möglichen Angriffen, berichten Sicherheitsforscher von Trend Micro.

Im Falle einer Attacke könnten Angreifer den Sicherheitsforschern zufolge eigenen Code mit den Rechten des Mediaservers ausführen. Wie bei den Stagefright-Schwachstellen könnten Angreifer etwa die Kontrolle über die Kamera und das Mikrofon übernehmen. Laut Trend Micro ist es bisher noch nicht zu derartigen Übergriffen gekommen.

Betroffen sollen die Android-Versionen 2.3 bis 5.1.1 sein; also nahezu alle Geräte, die im Umlauf sind. Google wurde am 19. Juni über die Schwachstelle unterrichtet. Im Android Open Source Project (AOSP) existiert bereits ein Fix. Wann die Hersteller von Geräten mit der Auslieferung von Updates beginnen ist nicht bekannt.

Die Sicherheitsforscher haben die Schwachstelle eigenen Angaben zufolge erfolgreich auf einem Nexus 6 mit Andorid 5.1.1 ausgenutzt. Für einen erfolgreichen Übergriff muss das Opfer allerdings eine präparierte App installieren. Trend Micro zufolge benötigt diese keine Berechtigungen, sodass das Opfer weniger Verdacht schöpft. Anschließend können Angreifer einen Pufferüberlauf provozieren, um beliebigen Code auszuführen. Laut Trend Micro kann das vom Nutzer unbemerkt passieren.

Die Sicherheitsforscher gehen davon aus, dass derartige Apps auch bei Google Play landen könnten. Dabei verweisen sie auf die Android-Spionage-App von Hacking Team. Denn diese enthält selbst keine Exploits, sondern lädt den Schadcode erst nach dem Start aus dem Netz nach – und zwar nur dann, wenn sichergestellt ist, dass sie nicht auf einem von Googles Analysesystemen läuft. (des)