Google hat gerade damit begonnen, einen außerplanmäßigen Sicherheits-Patch für Android bereitzustellen (siehe Außerplanmäßiges Android-Sicherheits-Update März 2016). Jetzt ist das nächste Sicherheitsproblem bekannt geworden: Die Stagefright-Lücke lässt sich wohl immer noch unter Android ausnutzen.
Anzeige
Über die Stagefright-Sicherheitslücken, die in 2015 Wellen schlugen, hatte ich hier im Blog ja mehrfach berichtet (siehe Linkliste am Artikelende). Mit den im Artikel Android und die Stagefright-Lücken: Nexus und Galaxy S4 beschriebenen Stagefright-Detector-Apps lässt sich sogar prüfen, ob und welche ungepatchten Lücken bestehen.
Problem an der Sache: Obwohl Google mehrere Sicherheits-Updates für die Stagefright-Lücke herausgegeben hat, werden immer wieder neue Angriffsmöglichkeiten bekannt. Jetzt haben die Sicherheitsspezialisten von NorthBit einen neuen, Metaphor getauften, Exploit für Stagefright beschrieben, der sich wohl real ausnutzen lässt. Metaphor wird in diesem PDF-Dokument beschrieben. Über eine präparierte MP4-Videodatei lässt sich das Gerät angreifen, wobei der Exploit recht trickreich agiert. So hebelt er die in Android 5.1 enthaltene Address Space Layout Randomization (ASLR) aus, indem er die betreffende Komponente mit dem Stagefright-Fix zum Absturz bringt. Beim Start versucht dann eine JavaScript-Datei Geräteinfos, u.a. zum Speicherbereich, in dem libc.so und libicui8n.so liegen, zu ermitteln. Mit diesen Informationen lässt sich dann u.U. der Stagefright-Fix in gepatchten Android-Version doch wieder umgehen. Betroffen sind wohl Android-Geräte von Android 2.0 bis Android 5.1. Ein paar zusätzliche Infos finden sich z.B. in diesem heise.de-Artikel. Nicht alles wirklich erbauend. (via)
Ähnliche Artikel:
Stagefright-Lücke bedroht 950 Millionen Android-Geräte
Android-Sicherheit: Stagefright-Exploit veröffentlicht
Stagefright 2.0: 1 Milliarde Android-Geräte unsicher …
Google fixt Stagefright 2.0-Lücke in Android
Android und die Stagefright-Lücken: Nexus und Galaxy S4
Außerplanmäßiges Android-Sicherheits-Update März 2016
Anzeige
Anzeige