Wenn Sie über ein Android-Gerät verfügen, kennen Sie wahrscheinlich den Stagefright-Fehler.
Google, Samsung, HTC, LG, Sony und Blackphone sowie die verschiedenen Netzbetreiber haben einen Patch für Stagefright veröffentlicht, der aber anscheinend nicht ausreicht.
Die Sicherheitsfirma Exodus Intelligence hat einen Fehler in einem bestimmten Quellcode-Tweak entdeckt, der dafür verantwortlich war, dass ein Gerät abstürzte, wenn Daten in einer Multimedia-Nachricht geöffnet wurden. Und laut Unternehmen könnte es ausgenutzt werden.
$config[code] not foundExodus sagte:
„Der Fehler wurde übermäßig aufmerksam gemacht. Wir glauben, dass wir wahrscheinlich nicht die einzigen sind, die bemerkt haben, dass er fehlerhaft ist. Andere können böswillige Absichten haben “
Eine fehlerhafte MP4-Videodatei stürzt sogar in gepatchten Android Stagefright-Bibliotheken ab, sodass Geräte, auf denen sie ausgeführt werden, anfällig für Angriffe sind.
Dieses spezielle Problem wurde am 31. Juli entdeckt, als der Sicherheitsforscher Jordan Gruskovnjak von Exodus Intelligence ein schwerwiegendes Problem mit dem vorgeschlagenen Patch feststellte. Er baute einen MP4, um den Patch zu umgehen und wurde beim Testen mit einem Absturz begrüßt.
Beachten Sie, dass alle verbreiteten Sicherheitsanfälligkeiten (CVEs) gepatcht wurden und Google die Exodus-Entdeckung mit CVE-2015-3864 zugewiesen hat, so dass das Problem bekannt ist.
Was ist Stagefright und warum ist es so gefährlich?
Laut Zimperium:
„Diese Schwachstellen sind extrem gefährlich, da das Opfer keine Maßnahmen ergreifen muss, um ausgenutzt zu werden. Im Gegensatz zu Spear-Phishing, bei dem das Opfer eine PDF-Datei oder einen vom Angreifer gesendeten Link öffnen muss, kann diese Sicherheitsanfälligkeit im Schlaf ausgelöst werden. “Das Unternehmen fuhr fort:„ Bevor Sie aufwachen, entfernt der Angreifer alle Anzeichen dafür, dass das Gerät gefährdet ist, und Sie werden Ihren Tag wie gewohnt fortsetzen - mit einem trojanischen Telefon. “
Der Android Stagefright-Exploit kann Fehler in dem Android-Betriebssystem verwenden, mit dem Multimedia-Dateien verarbeitet, abgespielt und aufgezeichnet werden.
Durch das Senden einer MMS kann Stagefright auf Ihr Gerät gelangen und der Angreifer erhält nach der Infektion Fernzugriff auf Mikrofon, Kamera und externen Speicher. In einigen Fällen kann auch Root-Zugriff auf das Gerät erhalten werden.
Der Android-Stagefright-Bug wurde im April von Zimperium zLabs, Vizepräsident von Platform Research and Exploitation Joshua J. Drake, entdeckt. Er sagte später, dass er und sein Team es für "die schlimmsten bisher entdeckten Android-Schwachstellen" halten, und dass "95 Prozent der Android-Geräte kritisch entlarvt werden, schätzungsweise 950 Millionen Geräte."
Zimperium berichtete über die Sicherheitsanfälligkeit von Google zusammen mit Patches. Das Patch wurde innerhalb von 48 Stunden auf interne Code-Zweige angewendet.
Was können Sie tun, bis das Problem endgültig behoben ist?
Zunächst sollten Sie nur auf Nachrichten von vertrauenswürdigen Quellen antworten. Deaktivieren Sie außerdem die Funktion zum automatischen Download für MMS in SMS, Hangouts und Videos in Apps, die Sie auf Ihrem Gerät installiert haben.
Jede App und jedes Gerät verfügt über einen eigenen Speicherort. In der Regel werden jedoch Einstellungen und Medien heruntergeladen. Wenn Sie es für Ihre bestimmte Anwendung nicht finden können, wenden Sie sich an den App-Publisher.
Anfang dieses Monats kündigte Google an, dass auf der Black Hat-Sicherheitskonferenz monatlich Sicherheitspatches für Android-Geräte herausgegeben werden, gefolgt von Samsung.
Das Unternehmen, das Stagefright zum ersten Mal entdeckte, hat eine App bei Google Play. Sie erfahren, ob Ihr Gerät anfällig ist, an welchen CVEs Ihr Gerät anfällig ist und ob Sie Ihr mobiles Betriebssystem aktualisieren müssen. Es wird auch auf CVE-2015-3864 getestet, die Schwachstelle, die Exodus Intelligence identifiziert hat.
Android ist die beliebteste Plattform für mobile Betriebssysteme, aber es ist sehr fragmentiert. Dies bedeutet, dass nicht jeder das neueste Betriebssystem oder Sicherheitsupdate ausführt. Daher ist es sehr schwierig, sicherzustellen, dass jedes Android-Gerät geschützt ist.
Wenn der Hersteller Ihres Smartphones Ihr Gerät nicht gepatcht hat, nehmen Sie die Angelegenheit selbst in die Hand und vergewissern Sie sich, dass Sie jederzeit über das neueste Update für Ihr Gerät verfügen.
Bild: Stagefright Detector / Lookout Mobile Security
Mehr in: Google 3 Kommentare ▼
