Galaxy-Update behebt Stagefright-Lecks nur zum Teil
Ebenso ist die HTTPS-Lücke Logjam für Angreifer nach wie vor nutzbar. Abgesehen davon liefert das Update die kürzlich zusammen mit dem S6 Edge+ präsentierten Neuerungen – und zwar einschließlich der Möglichkeit, neben Kontakten auch Apps für die seitliche Schnellzugriffsleiste einzurichten.
Vor einigen Tagen hat Samsung hierzulande mit der Auslieferung der unter der Bezeichnung FXXU2COH2 laufenden Aktualisierung für das Galaxy S6 und S6 Edge begonnen. Als Build-Datum trägt das Update den 12.8.2015 und nimmt auf einem S6 Edge eine Kapazität von 245 MByte in Anspruch. Es liefert Funktionen, die Samsung vor Kurzem zur Enthüllung seiner Phablet-Ausführungen Note 5 und S6 Edge+ vorgestellt hat. Darunter findet sich auch die Möglichkeit, neben Kontakten ebenso Anwendungen für die seitliche Schnellzugriffsleiste einzurichten.
Samsung unterstützt mit der aktuellen Firmware auf den Galaxy-S6-Varianten mit der Kamera-App die Live-Broadcasting-Funktion für Youtube. Außerdem soll die Audioverstärkereinheit durch UHQ-Upscale einen besseren Klang generieren. Neu sind zudem die abgerundeten Icons für vorinstallierte Apps. Überdies beinhaltet die Firmware Support für Samsung Pay und eine darauf abgestimmte Knox-Version. Allerdings schließt die Aktualisierung die seit Ende Juli als Stagefright bekannten Schwachstellen in der Android-Multimedia-Bibliothek schließt nicht vollständig. Die Schwachstellen CVE-2015-3864 und CVE-2015-3827 sind für Angreifer immer noch zugänglich.
Dem Sicherheitsanbieter Zimperium zufolge, der die Stagefright-Lecks entdeckt hatte, muss ein Video per MMS an ein Gerät gesendet werden, um die Android-Schwachstelle auszunutzen. Je nach verwendeter Messaging-App müsse der Anwender die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.
Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.
Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphoneanbieter hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.
Darüber hinaus ist der in den Galaxy-Modellen integrierte Browser noch immer verwundbar für die im Mai entdeckte HTTPS-Lücke Logjam. Diese Anfälligkeit hat Google in der für das Darstellen von HTML-Code konzipierten Android-Komponente Webview mittlerweile behoben. Das zeigt auch ein Test mit dem WebView Browser auf dem S6 Edge. Dennoch weist der Test von Sicherheitsanbieter Qualys weiterhin den integrierten Samsung-Browser als angreifbar aus. Offenbar nutzt er daher nicht WebView, um Webseiten darzustellen.
[mit Material von Kai Schmerer, ZDNet.de]