Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen
Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.
Joshua Drake, der Vizepräsident von Zimperium, legt nach und zeigt zwei weitere kritische Lücken in verschiedenen Bibliotheken von Android-Geräten auf. Davon sollen alle Android-Versionen betroffen sein.
Über die Schwachstellen können Angreifer Geräte abermals mittels präparierter MP3- und MP4-Dateien kompromittieren, eigenen Code ausführen und etwa Smartphones in Wanzen verwandeln. Die Angriffswege sind dabei vielfältig, warnen die Sicherheitsforscher und Angreifer können Geräte über eine präparierte Webseite oder App entern.
Zimperium versichert, dass es noch keine Übergriffe gegeben hat. In ihrer Mitteilung zu den neuen Lücken erläutern die Sicherheitsforscher, dass sie das stetig überwachen.
Kern-Bibliothek verwundbar
Die Lücke mit der Kennung CVE-2015-6602 schleppt Android Drake zufolge seit der ersten Version mit. Dabei soll die grundlegende Systembibliothek libutils verwundbar sein. Das könnte weite Kreise nach sich ziehen, denn viele Bereiche von Android greifen auf diese Bibliothek zu.
Die zweite Schwachstelle habe noch keine CVE-Kennung bekommen und klafft in der Bibliothek libstagefright. Davon ist Code betroffen, der innerhalb des Media-Servers von Android läuft. Drake zufolge konnten sie über die Lücke Geräte mit der Android-Version 5.0 und höher erfolgreich angreifen.
Patch-Zeitpunkt weitgehend unklar
Patches für die beiden neuen Lücken seien auf dem Weg. Google will Zimperium zufolge seine Geräte der Nexus-Serie nächste Woche im Zuge des Patchdays abdichten. Wann die Geräte-Hersteller nachziehen, ist nicht bekannt. Noch heute sind unzählige Geräte verwundbar, da viele Hersteller noch keine Patches für die alten Stagefright-Lücken verteilt haben.
Zimperium will seine Stagefright Detector App zur Überprüfung der Anfälligkeit von Geräten aktualisieren, wenn ein Patch verfügbar ist. Die Sicherheitsforscher wollen keinen Exploit für die neuen Schwachstellen veröffentlichen. Für die Lücken der ersten Stagefright-Welle ist mittlerweile ein Exploit verfügbar. (des)
