Die Sicherheitslücke Stagefright in Android ist offenbar gefährlicher als bislang vermutet. Das hat Trend Micro herausgefunden. Demnach gibt es weitere Angriffsvektoren. Angreifer können nicht nur MMS-Nachrichten nutzen, um die Schwachstelle auszunutzen, sondern auch entsprechend präparierte Websites und Apps.
Der Fehler steckt in Androids Mediaplayer-Engine und wurde von der Sicherheitsfirma Zimperium entdeckt. Dem Unternehmen zufolge müssen Cyberkriminelle ein Video per MMS an ein Gerät senden, um Stagefright auszunutzen. Dabei ist es abhängig von der Messaging-App, ob ein Nutzer das Video unbedingt ansehen muss. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert.
Trend Micro zufolge ist der Dienst Mediaserver nicht in der Lage, mit einer deformierten MP4-Datei korrekt umzugehen. “Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben”, führt Sicherheitsforscher Wish Wu in einem Blog aus. “Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.”
Wu und seine Kollegen demonstrierten wie sich mit einer manipulierten MP4-Datei der Heap des Mediaservers zum Absturz bringen lässt. Außerdem könnten Cyberkriminelle einen speziellen Datenblock erzeugen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen.
In einem zweiten Szenario betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun etwa in Android 5.1.1 zur Betrachtung die integrierte Komponente WebView genutzt, ergaben sich die gleichen Probleme wie im ersten Szenario. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.
Stagefright wurde bis jetzt wohl nicht ausgenutzt, die Sicherheitslücke soll aber über 94 Prozent aller Android-Geräte betreffen. Google hat den Herstellern zwar Patches zur Vefügung gestellt, aber noch ist weitgehend unklar, wann und für welche Geräte Sicherheitsaktualisierungen bei den Nutzern ankommen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…