Stagefright: Android-Lücke erfordert weiteren Patch

SicherheitSicherheitsmanagement
Stagefright (Bild: Zimperium)

Diesbezüglich hat Google zugegeben, die Anfälligkeit noch nicht vollständig beseitigt zu haben. Im Zuge des monatlichen Sicherheitsupdates will es im September aber einen überarbeiteten Patch nachliefern.

Die Stagefright genannten Sicherheitslücken sind nach wie vor nicht vollständig geschlossen. Google hat dies inzwischen eingeräumt. Konkret handelt es sich dabei um die Schwachstelle CVE-2015-3864. Ein erneuter Patch soll die von Exodus Intelligence entdeckten und gemeldeten Probleme dann aber endgültig beseitigen.

“Wir haben den Fix bereits an unsere Partner geschickt, um die Nutzer zu schützen”, heißt es in Googles Stellungnahme. “Nexus 4, 5, 6, 7, 9, 10 sowie Nexus Player werden das OTA-Update mit dem monatlichen Sicherheitupdate im September erhalten.” Mutmaßlich gilt dies auch für andere Geräte mit monatlicher Patch-Auslieferung. Das setzt aber wiederum voraus, dass Hersteller und Netzbetreiber entsprechend mitziehen.

Google und Samsung kündigten in diesem Monat für Android solche regelmäßigen Sicherheitsaktualisierungen an, nachdem Stagefright als Mutter aller Android-Lücken bekannt wurde. Mit Certifi-gate tat sich zudem eine weitere kritische Schwachstelle hervor.

Gegen Stagefright, das sich nicht nur über MMS ausnutzen lässt, machte Google zunächst eine Reihe von Patches verfügbar, zu denen unter anderem auch der Stagefright-Entdecker Zimperium beitrug. Als die gepatchte Firmware bereitgestellt wurde, prüften die Sicherheitsexperten von Exodus Intelligence Android auf weitere Anfälligkeiten und wurden schließlich fündig. Hierbei gelang es ihnen, eine MP4-Datei so zu manipulieren, dass sie eines der Updates aushebeln und einen jüngst aktualisierten Nexus 5 zum Absturz bringen konnten. Die Sicherheitsforscher schätzen, dass etwa 950 Millionen Google-Kunden von der Schwachstelle betroffen sind. Immerhin scheint der fehlerhafte Patch aber weder Datendiebstahl noch eine Code-Ausführung zu erlauben.

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse

Loading ... Loading ...

Exodus Intelligence wirft Google vor, nach wie vor den fehlerhaften Patch auszuliefern und somit die Anwender in falscher Sicherheit zu wiegen. Mit Stagefright-Entdecker Zimperium kooperieren die Sicherheitsforscher, um die Stagefright Detector App zum Erkennen der noch existierenden Schwachstelle anzupassen. “Wir haben auch vor, sie auf weitere Mängel aufmerksam zu machen, die wir kürzlich entdeckt haben”, schreiben sie in einem Blogbeitrag, ohne diese Andeutung jedoch näher zu erläutern.

Das schnelle Veröffentlichen der Sicherheitslücken begründete Exodus Intelligence damit, dass sie Google am 7. August über das Problem informiert und noch immer keine Antwort auf ihre Frage erhalten hätten, wann ein überarbeiteter Patch kommt. Zudem sei der ursprüngliche Fehler schon vor mehr als 120 Tagen an Google gemeldet worden – und damit wären die üblichen 90 Tage längst überschritten, nach denen Sicherheitsforscher sich berechtigt sehen, von den Herstellern ungepatchte Schwachstellen publik zu machen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen