Stagefright: Cyanogen dichtet Sicherheitsleck endlich vollständig ab
So sind die Nightly-Builds von CyanogenMod 11.0, 12.0 und 12.1 nicht mehr anfällig für die Stagefright genannten Lücken. Cyanogen plant, gegen Ende des Monats stabile Versionen seiner Custom-Rom-Varianten zu verteilen.
Die Entwickler der populärsten Android-Custom-Rom CyanogenMod haben die in der Multimedia-Bibliothek Stagefright gefundenen Schwachstellen (zu Deutsch Lampenfieber) behoben. Im Gegensatz zu Google schließen sie sämtliche dieser mit den Kennungen CVE-2015-1538, -1539, -3824, -3827, -3828, -3829 und -3864 versehenen Sicherheitslücken. Die Nightlies von CyanogenMod 11.0, 12.0 und 12.1 sind demnach für die Lücken nicht mehr verwundbar. Gegen Ende des Monats sieht Cyanogen die Auslieferung von stabilen Versionen vor.
Die in der Multimedia-Bibliothek von Android steckenden Anfälligkeiten hatte der Sicherheitsanbieter Zimperium schon im April an Google gemeldet. Ende Juli wurde sie via NPR und auch im Blog von Zimperium publik gemacht. Ende Juli hatte Google einen von Zimperium offerierten Patch akzeptiert und an die Endgerätehersteller ausgeliefert. Jedoch musste der Internetkonzern inzwischen eingestehen, dass dieser nicht alle Sicherheitslecks stopft. So gelang es Mitarbeitern von Exodus Intelligence, eine MP4-Datei so zu manipulieren, dass sie einen der Patches überlistet und ein damit aktualisiertes Nexus 5 zum Absturz bringt. Datendiebstahl oder Code-Ausführung scheint die letzte Woche entdeckte Schwachstelle CVE-2015-3824 dafür immerhin nicht zu erlauben.
Mit der Anwendung Stagefright Detector App können Android-Nutzer überprüfen, ob ihr Gerät von den oben aufgeführten Anfälligkeiten betroffen ist. Das Programm wurde von Zimperium und Exodus Intelligence entwickelt. Alternative Apps, die angeblich ebenfalls die Stagefright-Lücken erkennen können, sollten hingegen gemieden werden, da sie nicht sämtliche Schwachstellen überprüfen.
Das Ausnutzen der Stagefright-Sicherheitslücken erfolgt über eine präparierte MP4-Datei, die zum Beispiel via MMS, Hangouts, Messenger, E-Mail, USB oder auch über den Besuch einer manipulierten Webseite auf das Gerät gelangen kann und die Multimedia-Bibliothek Stagefright zum Absturz bringt. Der dadurch entstandene Pufferüberlauf lässt sich zur Ausführung von Schadcode nutzen, sodass beispielsweise Audiomitschnitte oder Videos ohne Zutun des Anwenders erstellt werden können. Ein Angreifer hätte auch Zugriff auf die Mediengalerie sowie die Bluetooth-Schnittstelle.
Stagefright wurde bis jetzt wohl nicht ausgenutzt, die Sicherheitslücke soll jedoch mehr als 94 Prozent aller Android-Geräte betreffen. Zwar hat Google den Herstellern Patches zur Verfügung gestellt, aber trotzdem ist noch weitgehend unklar, wann und für welche Geräte Sicherheitsupdates bei den Nutzern ankommen. Immerhin haben Google, Samsung und andere Android-Hersteller angekündigt, zukünftig regelmäßig Sicherheitsaktualisierungen durchführen zu wollen.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de