Sicherheitslücke in Android-Komponente Stagefright lässt sich durch MMS ausnutzen
Stagefright ist die Mediaplayer-Engine in Android. Betroffen sind den Entdeckern der Lücke beim Sicherheitsunternehmen Zimperium zufolge Geräte mit Android 2.2 oder neuer. Den Herstellern hat Google bereits Patches zur Verfügung gestellt.
Die Sicherheitsfirma Zimperium hat auf eine offenbar sehr leicht ausnutzbare Sicherheitslücke in Android hingewiesen. Sie steckt in Stagefright, der Mediaplayer-Engine von Android. Offenbar können darübr lediglich durch eine MMS an das Opfer vertrauliche Daten gestohlen werden.
Damit der Angriff erfolgreich ist, muss der Nutzer je nach verwendeter Messaging-App die Nachricht lediglich aufrufen, teilweise das betreffende Video nicht einmal ansehen. Zum Beispiel bei Google Hangouts reicht es laut Zimperium aus, dei Nachricht zu empfangen, damit das Gerät infiziert wird, da das Programm das Video selbständig dekodiere, um es fürs Abspielen vorzubereiten.
Die Lücke hatte Zimperium im April an Google gemeldet. Die Forscher gehen davon aus, dass sie bisher nicht ausgenutzt wird. Google habe den von Zimperium angebotenen Patch bereits akzeptiert und an Endgerätehersteller verteilt.
Ein Google-Sprecher bestätigte das gegenüber CNET. Ob und wann die Hersteller welche Geräte aktualisieren werden, wurde nicht mitgeteilt. Der Google-Sprecher erklärte zudem, daas vor allem neuere Geräte mit diverse Techniken ausgestattet seien, um das Ausnutzen solcher Lücken zu erschweren. Er verwies auch auf die Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schütze.
Details zu der Lücke will Zimperium auf der Konferenz Black Hat bekannt machen, die am 1. August in Las Vegas beginnt. Erfahrungsgemäß dürfte es danach nicht mehr lange dauern, bis erste Exploits für die Lücke in Umlauf sind.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de