Stagefright 2.0: neue Sicherheitslücke betrifft alle Android-Versionen ab 1.0
Die Stagefright-Lücke sorgte dieses Jahr shcon mehrmals für Aufsehen, machte sie doch eine Menge Android-Nutzer angreifbar. Google und andere Hersteller fühlten sich dadurch sogar veranlasst, nun monatlich Sicherheits-Updates auszuliefern. Mittlerweile haben zahlreiche Hersteller Updates ausgeliefert, die Nutzer wieder vor Angriffen schützt. Doch man sollte sich nie zu früh freuen, denn Zimperium, die Sicherheitsforscher, die schon Stagefright entdeckt haben, haben bereits eine neue Lücke gefunden. Stagefright 2.0 getauft, lässt sich die neue Schwachstelle wieder mit manipulierten MP3- und MP4-Dateien ausnutzen. Betroffen sollen alle Android-Versionen ab 1.0 sein.
Man muss bei dieser Lücke allerdings unterscheiden, denn Geräte mit einer Android-Version unter 5.0 lassen sich anders angreifen als Geräte mit einer neueren Android-Version, angreifbar sind dennoch alle Versionen. Zimperium hat noch keinen Proof of Concept-Exploit veröffentlicht, sondern erst einmal Google und die Zimperium Handset Alliance darüber informiert. So können Hersteller bereits an einem Patch arbeiten, bevor Zimperium bekannt gibt, wie genau die Lücken ausgenutzt werden.
Zum Zeitpunkt der Veröffentlichung des Exploits will Zimperium auch die Stagefright Detector-App updaten, sodass Nutzer selbst überprüfen können, ob das Smartphone von der Lücke betroffen ist. Die Lücke ermöglicht die Ausführung von Code auf dem Android-Gerät über einen Remote-Angriff, also genau das, was man eigentlich unter keinen Umständen in seinem System haben möchte. Bisher scheint die Lücke aber noch nicht ausgenutzt zu werden.
Es heißt also wieder einmal auf Updates warten, wenn man Android-Nutzer ist. Zimperium geht davon aus, dass es noch weitere Lücken in diesem Bereich gibt, sodass es sicher nicht das letzte Mal war, dass wir von Stagefright gehört haben. Weitere Informationen zu Stagefright 2.0 findet Ihr direkt bei Zimperium.
Wird geladen ...
Und ich habe für mein Galaxy S4 Mini noch nicht mal einen Patch für Stagefright 1.0 erhalten.
@Uli: Ich denke mal das du das auch nicht bekommen wirst. Mach dir doch einfach CyanogenMod drauf. Da bekommst du die Patches alle zeitnah.
Bevor ich einen Garantieverlust riskiere, behelfe ich mich doch lieber damit, MMS Empfang zu deaktivieren. Ich kann mich nicht daran erinnern, in den letzten 10 Jahren auch nur einmal eine MMS versendet oder empfangen zu haben.
Nexus-Geräte sollen den Patch dafür nächste Woche bekommen.
Mal sehen wer schneller ist Google oder CM, der Rest schaut wohl erst mal (oder für immer) dumm in die Röhre^^
Mein MotoG2 hat auch erst 5.0.2 drauf, der Support weiß nicht mal, ob und wann 5.1 oder geschweige denn 6 rauskommt. Ziemlich schade, bisher war ich immer begeistern von Motorola…
wie patche ich jetzt nur mein Android 1.0 …
Langsam habe ich die Nase voll von diesen ewigen Sicherheitslücken und Problemen in Android.
Nächste Woche schaue ich mir W10 Mobile an. Mal sehen was für Lumias die da vorstellen. Die geleakten sind mir zu teuer. Aber ein Lumia 650 oder 550 könnte ich mir vorstellen. Sonst halt ein 640.
Das betreibe ich dann ein paar Wochen parallel zu meinem Moto G 2014 und schaue mal welches besser ist.
Ach, sunworker, Windows Mobile hat doch die genaus selben Lücken, nur interessiert sich dafür kaum jemand, weil es nur 3% nutzen (mit allen damit verbundenen Folgen, wie kaum verfügbaren Apps).
Windows auf Mobilgeräten ist wie Linux auf Desktopgeräten.
Du darfst dich nicht immer von jeder Panikmache anstecken lassen. Es handelt sich in so gut wie jedem Fall um Proof-of-Concept im Labor, eine Ausnutzung in der Realität ist kaum praktikabel umsetzbar.
Oder was glaubst du warum bei einer Verbreitung von fast 80% Androidm, nicht jeden Tag ein Großteil deiner Bekannten voller Verzweiflung schreit, was ihnen böse Hacker über ihre Mobil-Geräte angetan haben?
Android ist und bleibt sicherheitstechnisch eine absolute Katastrophe.
Und daran wird sich auch erst etwas ändern wenn es so richtig knallt, und zwar in einem Maßstab wohingegen die aktuell bekannten Sicherheitslücken noch absolut harmlos sind.
@Alex: Auf meinem S3 ist CyanogenMod 11 und soweit ich las, sollte schon lage die Installerversion für Stagefright 1 upgedatet werden. Wurde sie aber nicht 🙁
@Uli: naja das S4 Mini ist ja schon 2 Jahre alt. Also hast du ja auch nicht mehr so lange Garantie und die Gewährleistung geht ja trotzdem nicht flöten. Nur MMS zu sperren reicht aber nicht aus. Man kann auch über andere APPs Videos mit entsprechenden Code rausschicken, so weit ich das verstanden habe.
@elknipso Mit welchen Fakten belegst du deine Aussage?
@Pingu: sicherlich hat er keine, so wie sein Blog mit dem Hello World Beitrag.
@Pingu
Ist das eine ernsthaft gestellte Frage? Du hast schon die Nachrichten zu dem Thema in letzter Zeit verfolgt?
@Oink
Welchen Blog meinst Du? Ich unterhalte keinen Blog.
@mrbogus27
Wenn er das für meinen Blog hält erklärt das natürlich auch wie er ernsthaft solche Fragen stellen kann.
Muss ich mir jetzt ein neues Nexus kaufen um Sicherheitsupdates zu bekommen? Alle anderen inkl. Samsung werden da für Geräte älter als 1 Jahr nicht nachschieben. Vielleicht ist ein Wechsel zu Apple doch sinnvoller.
Wechsel zu Apple kommt für mich trotz der bescheidenen Patch-Politik der Android-Gerätehersteller nicht in Frage.
Ich zahl doch keine tausend Euro für ein Handy, nur weil da ein angebissener Apfel hinten drauf ist!
Neuer Vertrag lohnt sich noch nicht, da mein jetziger noch nicht mal ein Jahr lang läuft.
Außerdem bin ich eher der Typ, der ein Handy solange nutzt, bis es kaputt geht.
Ich habe es nicht nötig, meinen Penis zu verlängern, in dem ich dauernd das neueste schicke Smartphone habe.
Ich kaufe mir jedenfalls bestimmt kein neues Handy um Sicherheitsupdates zu bekommen.
Wenn die Garantie für mein Samsung abgelaufen ist, könnte ich darüber nachdenken diese Cyanogendingsbums draufzubretzeln.
Aber das solche Hacks überhaupt notwendig sind ist schon ein Armutszeugnis.
@Bill
Windows Mobile hat eben NICHT diese vielen massiven Sicherheitslücken. Android ist wie auch wie schon @elknipso sagte eine Katastrophe was Sicherheit angeht.
Mit Panik hat das nichts zu tun. Eher damit das ich die Nase voll habe und was anderes parallel ausprobiere.
Ausserdem habe ich auch keine Lust mir fast jede Woche wieder Infos zu einer neuen Sicherheitslücke bei Android durchlesen zu müssen. Damit ich abschätzen kann wie schlimm das dieses Mal ist. Das kostet Zeit für nix.
Und dIe meisten Android Phones werden wieder keine Updates bekommen und weiter mit Stagefright v1, v2 und vielleicht auch v3 und v4.- und was noch so kommt – leben müssen.
Ob ich bei Android bleibe oder zu Windows 10 Mobile wechseln werde, mal sehen was besser ist für mich. Das hängt vor allem von W10 ab, wenn es was taugt ist das Moto G bei Ebay.