2129386

Weitere gravierende Lücken in Android

02.10.2015 | 09:11 Uhr |

Zimperium hat zwei weitere schwerwiegende Sicherheitslücken in Android aufgedeckt. Eine betrifft alle Android-Versionen seit 1.0, die andere steckt in Android ab 5.0.

Noch längst nicht alle Smartphone-Hersteller haben die seit Juli bekannten Stagefright-Lücken in Android durch Updates geschlossen – genau genommen kaum einer. Doch das Sicherheitsunternehmen Zimperium, Entdecker dieser Lücken, legt nun nach. Zimperium hat zwei weitere Schwachstellen in Android entdeckt und nennt sie Stagefright 2.0 . Kombiniert ein Angreifer beide Lücken, kann er die volle Kontrolle über das System übernehmen.

Die erste der beiden neuen Schwachstellen steckt in der Programmbibliothek libutils und betrifft alle Android-Versionen seit 1.0 und somit praktisch alle jemals hergestellten Android-Geräte. Sie wird unter der Kennung CVE-2015-6602 geführt. Die zweite Lücke ist eine neue Stagefright-Schwachstelle (in libstagefright ), die Android ab Version 5.0 betrifft und die Kennung CVE-2015-3876 hat.

Unter Android 5.0 und höher kann ein Angreifer die zweite Schwachstelle als Sprungbrett zur Ausnutzung der libutils-Lücke verwenden. Dazu muss er potenzielle Opfer lediglich dazu verleiten, speziell präparierte MP3- oder MP4-Dateien zu laden. Dadurch kann er beliebigen Code einschleusen und ausführen. Laut Zimperium sind bislang noch keine entsprechenden Angriffe entdeckt worden.

Zimperium hat die Schwachstellen am 15. August an Googles Android Security Team gemeldet. In der kommenden Woche will Google ein Sicherheits-Update für alle Nexus-Geräte bereit stellen, das diese Lücken schließen soll. Google hat seit der Ankündigung monatlicher Sicherheits-Updates bereits zwei Security Bulletins nebst Updates für seine Nexus-Geräte ausgeliefert und damit die bis dahin bekannten Stagefright-Lücken beseitigt.

Andere Smartphone-Anbieter tun sich, trotz entsprechender Ankündigungen, deutlich schwerer damit. Dabei haben sie durchaus die korrigierten Android-Quelltexte zur Verfügung. Sie müssen jedoch an die jeweiligen Geräte angepasste Updates erstellen. Aus Kostengründen unterlassen sie dies für die meisten Mobilgeräte und versorgen oft nur neuere Topmodelle mit Updates.

Zimperium will seine App Stagefright Detector aktualisieren, sobald Google einen Patch bereit gestellt hat. Damit soll Jedermann in die Lage versetzt werden zu prüfen, ob sein Gerät anfällig ist. So soll vor allem überprüft werden können, ob das Update auch die beabsichtigte Wirkung hat. Unklar ist derzeit noch, ob Android 6.0, das ab 5. Oktober an Nexus-Geräte ausgeliefert werden soll, die neuen Lücken noch enthält oder ob sie darin bereits gestopft sind.

0 Kommentare zu diesem Artikel
2129386