Go to Top

Stagefright 3.0

Sicherheitslücke android

Smartphones sind Computer – und ebenso wie die großen Brüder angreifbar. Im Juli 2015 hatte die Sicherheitsfirma Zimperium (San Francisco) Google darüber informiert, dass es Probleme mit dem Betriebssystem Android gibt. Da die Multimedia-Schnittstelle Stagefright Videos schon lädt, bevor der Nutzer die Nachricht überhaupt öffnet, konnten korrumpierte mp4-Dateien das Handy für fremde Angreifer öffnen und beispielsweise in eine Wanze umfunktionieren.

Im Oktober 2015 tauchten Informationen über Stagefright 2.0 auf. Bei dieser Sicherheitslücke wurde die Medien-Vorschau-Funktion von Android benutzt, um das Gerät zu verseuchen. Wer bei der Suche nach Filmen im Netz auf ein manipuliertes Video stieß, war schon gefährdet – ansehen war auch hier nicht nötig.

Nun wurde ein weiterer Stagefright-Exploit bekannt. Version 3 birgt Gefahren für Smartphones, die mit dem Google-Betriebssystem Android in den Versionen 2.2 bis 4.0 und 5.0 bis 5.1 betrieben werden – das würde etwa 235 Millionen Geräte betreffen. Angreifer könnten durch diese Sicherheitslücke binnen Sekunden das gesamte Handy in ihre Gewalt bringen. Glücklicherweise wurden bisher noch keine Angriffe durchgeführt.

So funktioniert das Kidnapping:

Beim Surfen stößt man auf eine Webseite mit einem infizierten Video, das die Stagefright-Bibliothek zum Absturz bringt – abspielen muss man das Video auch diesmal nicht.

Via Javascript werden Informationen über das Handy abgerufen, mit denen ein für das angegriffen Gerät speziell erzeugtes Video nachgeladen wird. Durch die Stagefright-Lücke schickt das Handy nun genauere technische Daten an den Angreifer.

Als finalen Angriff wird ein als Video getarntes Programm, das ausgewählte Schadprogramme einspielt, auf das Smartphone hochgeladen und gestartet.

Die gesamte Prozedur dauert nur wenige Sekunden. Kaum ein Nutzer wird etwas davon mitbekommen, dass sein liebgewonnenes Gerät nun für fremde Augen einsehbar und für alle möglichen Aktionen nutzbar ist.

Wie gesagt, bisher wurden noch keine Angriffe über die neue Sicherheitslücke bei Stagefright gemeldet. Das muss aber nicht so bleiben. Klar ist auch, dass für viele Android-Nutzer mit älteren Geräten (und dementsprechend älteren Betriebssystemen) keine Sicherheits-Updates ausgeliefert mehr werden.

Wer wissen will, ob sein Smartphone gefährdet ist, kann das mit der Stagefright Detector App der Sicherheitsfirma Zimperium nachprüfen.

Bildquelle: Uncalno Tekno / flickr – Lizenz: CC2