Software::Android
Stagefright für Android trotz Patch weiterhin gefährlich
Die kürzlich Furore machende Sicherheitslücke Stagefright ist inzwischen repariert und viele Smartphones haben den Patchset bereits erhalten. Jedoch ist, wie auch Google mittlerweile bestätigte, einer der ausgelieferten Patches fehlerhaft.
android.com
Dies hat das Sicherheitsunternehmen Exodus bei einem
Test der Patches für Stagefright
herausgefunden. Dort war es gelungen, trotz des Patchsets ein Nexus-5-Smartphone mit einer präparierten MP4-Datei zum Absturz zu bringen. Nachdem die Patches zu einem großen Prozentsatz die betroffenen Geräte erreicht hatten oder auf dem Weg zu den Anwendern sind, wiederholte der Forscher Jordan Gruskovnjak bei Exodus jetzt seine Tests und fand seine frühere Annahme über einen Fehler in einem nur vier Zeilen umfassenden Patch, der die Lücke mit der Bezeichnung CVE-2015-3824 betraf, bestätigt und informierte Google darüber.
Der Android-Hersteller hat den Fehler mittlerweile bestätigt und einen korrigierten Patch bereitgestellt, der am Patchday im September direkt an Googles betroffene Geräte Nexus 4/5/6/7/9/10 und Nexus Player ausgeliefert werden soll. Wann weitere Hersteller und Carrier den Patch an ihre Endkunden verteilen, ist unklar. Jedoch hatten auch große Hersteller wie Samsung und LG sich angesichts von Stagefright zu einem monatlichen Patchday bereit erklärt.
Exodus geriet derweil in die Kritik, weil die erneute Verwundbarkeit so schnell veröffentlicht wurde. Normalerweise halten Sicherheitsunternehmen eine Frist von 90 Tagen ein, bevor sie an die Öffentlichkeit gehen. Exodus rechtfertigt sein Vorgehen mit der hohen Publizität, die Stagefright durch den Vortrag auf der Black-Hat-Konferenz in der letzten Woche erlangt hatte. Man wolle verhindern, dass Anwender sich mit einem gepatchten Gerät zu sicher fühlen, wenn dafür kein Anlass besteht. So liefert etwa auch die App Stagefright Detector der Firma Zimperium, die die Lücke ursprünglich entdeckt hatten, ein falsches Ergebnis und wiegt Anwender in Sicherheit. Mittlerweile arbeitet Zimperium zusammen mit Exodus an der Korrektur der App.
In den letzten Tagen wurde zudem eine weitere Lücke in Android bekannt, über die mehr als jedes zweite Android-Handy angreifbar ist. Hiervon betroffen sind die Android-Versionen 4.3 bis 5.1 und Android M. Dabei können sich völlig harmlose Apps ohne weitreichende Berechtigungen durch eine Lücke im Zertifikatsystem von Android Rechte verschaffen, die fast die vollständige Kontrolle des Geräts erlauben.
){kind=logo}
