Alle Android Geräte von Stagefright betroffen … erneut

Facebooktwitterredditpinterestlinkedinmail
In Androids Stagefright Mediensystem befinden sich zwei Sicherheitslücken.

Erneut kamen zwei schwerwiegende Sicherheitslücken in Androids Mediensystem Stagefright zum Vorschein.

Wie ich bereits ziemlich genau vor zwei Monaten berichtet habe, wurde Android von der Sicherheitslücke im Mediensystem Stagefright geplagt. Dies hat sich diesen Monat wiederholt denn schon wieder ist Stagefright von Sicherheitslücken betroffen – und dabei haben die meisten Geräte zusätzlich noch die alten Lücken.

Theoretisch sind alle Geräte, die ab 2008 (Android 1.0 Release) gekauft wurden betroffen. Praktisch sind jedoch einige Android Geräte durch vorherige Updates der Hersteller abgesichert.

Lücke in Stagefright und libutils

Wieder handelt es sich um Lücken im Mediensystem Stagefright und wieder kann man durch veränderte MP3 / MP4 Dateien Code auf dem Smartphone ausführen (sog. Remote-Code-Execution).

Die zwei gefundenen Lücken liegen in den Bibliotheken libutils und libstagefright von Android. Obwohl die Lücken an unterschiedlichen Stellen sind, können sie mit dem selben Trick benutzt werden und ermöglichen auch beide eine RCE (Remote-Code-Execution).

Durch das angucken an sich wird die Lücke nicht ausgenutzt, gefährlich ist jedoch die Verarbeitung der Metadaten (z.B. Datum, Größe, Auflösung, Länge, etc.) vor dem abspielen der Datei. Diese findet in eben den Bibliotheken libstagefright, bzw. libutils statt.

Wer ist betroffen?

Wer ein Smartphone mit einer Version zwischen 1.0 und 4.4.4 / 4.4W ist von der Lücke in libutils betroffen.
Ab Android 5.0 sind Smartphones nur betroffen, wenn zusätzlich eine Lücke in libstagefright vorliegt, die jedoch von einigen (nicht von allen!) Herstellern durch ein Update für die erste Stagefright Lücke bereits behoben wurde.
In beiden Fällen sollte man regelmäßig die Website des Herstellers oder das Update-Center des Handys auf Aktualisierungen prüfen.

Wer sich nicht sicher ist ob er wirklich betroffen ist, kann sich die Stagefright Detector App herunterladen. Diese prüft die bekannten Sicherheitslücken und zeigt an ob man verwundbar ist oder nicht.

So wird man Opfer von Stagefright 2.0

Es gibt drei unterschiedliche Arten Opfer der Lücke zu werden. Die wohl gefährlichste Art sind kompromittierte Webseiten, denn sobald ein Benutzer auf eine Website mit entsprechend bearbeiteten MP3 oder MP4 Dateien geht, läuft er Gefahr Opfer dieser Lücken zu werden.
Eine weitere gefährliche Art ist das benutzen von Dritt-Anbieter-Apps, wie z.B. Instant Messeger oder Media Player, die die oben genannten Bibliotheken benutzen.
Die dritte, jedoch eher unwahrscheinliche, Art ist die Gefahr, dass ein Hacker den Netzwerkverkehr entschlüsselt und so MP3 / MP4 Dateien beim herunterladen verändert um Code auszuführen.

Wer also ganz sicher gehen möchte öffnet keine Mediendateien mehr, die man nicht selbst gekauft oder erstellt hat. Auch Dateien, die man von Freunden bekommt, welche diese jedoch nicht selbst erstellt haben, sind gefährlich.

Ein Lichtblick: Im Gegensatz zur ersten Stagefright Lücke, kann nun nicht mehr durch eine veränderte MMS Code ausgeführt werden, denn diese Lücke wurde erfolgreich geschlossen (man sollte jedoch prüfen ob das Update dafür auch installiert ist).

Facebooktwitterredditpinterestlinkedinmail

1 Kommentar

  1. Pingback: Stagefright 2.0 - Schmeißt eure Android-Geräte weg › Henning Uhle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.