Täglich grüßt das Murmeltier: Stagefright 2.0

Stagefright - war da nicht schon mal etwas? Das ist doch schon alt! - wer so denkt, begeht leider einen Fehler. Stagefright ist nun wieder aktuell, denn Sicherheitsexperten haben zwei neue Sicherheitslücken in Android entdeckt, von denen eine wieder einmal die libstagefright Bibliothek betrifft. Nun beginnt das ganze Spiel bezüglich Updates und Behebung des Fehlers von Neuem.

Erst vor einigen Monaten schaffte es der Begriff Stagefright in die Schlagzeilen, da fast jedes Android-Gerät von dieser Lücke betroffen war und sie durch einfachste Mittel ausgenutzt werden konnte. Durch eine manipulierte MMS oder ein manipuliertes Video konnten Angrifer die Macht über das Gerät erlangen, indem beliebiger Schadcode ausgeführt werden kann. Für die Lücke gab es auch bereits diverse Exploits, die von Angreifern aktiv ausgenutzt wurden. Da alle Gerät mit Android 4.0.1 und neuer betroffen waren, haben Angreifer auch ein breites Spektrum an Opfern, denn derzeit sind damit rund 1 Milliarde Geräte betroffen.

Die neueste Generation der Sicherheitslücke ist zwar nicht mehr ganz so einfach auszunutzen, da Google in den eigenen Apps diese bereits gestopft hat, doch über verseuchte Webseiten oder Man-in-the-middle-Attacken können Geräte noch immer infiziert werden. Neben der libstagefright ist auch die libutils Bibliothek betroffen, sodass hier wirklich wieder ein breites Tor für Angreifer offen steht. Ich bin gespannt, wann die ersten Hersteller reagieren und Sicherheitsupdates für die eigenen Systeme bereit stellen. Teilweise ist ja noch die erste Stagefright-Lücke nicht gestopft, sodass es nun wirklich höchste Zeit für die Hersteller ist, Updates zu liefern. Wahrscheinlich wird es aber wieder einmal sehr lange dauern. Angreifer haben also weiterhin leichtes - und jetzt noch leichteres - Spiel.

Quelle: GOLEM