Neue Sicherheitslücke: Ein Song kann alle Android-Geräte gefährden

Sicherheitsforscher bei Zimperium zLabs haben eine neue „Stagefright“-Sicherheitslücke entdeckt, die Ihr Android-Telefon allein durch das Öffnen einer MP3-Datei angreifbar machen könnte.

Es heißt, dass es mittlerweile mehrere Möglichkeiten gibt, diese Sicherheitslücke auszunutzen. Eine der Angriffsmethoden betrifft fast alle Android-Telefone, denn nur Telefone mit Android 1.0 oder höheren Versionen des 2008 veröffentlichten Systems sind betroffen. Die anderen Angriffsmethoden zielen hauptsächlich auf Android 5.0 und höhere Systemversionen ab.

Der Angriff, der als „Stagefright 2.0-Angriff“ bezeichnet wird, hängt mit der Art und Weise zusammen, wie das System Metadaten in MP3- oder MP4-Dateien verarbeitet. Solange das Android-System auf dem Telefon des Benutzers eine vom Angreifer speziell erstellte Song- oder Videodatei in der Vorschau anzeigt, kann der Angreifer Remotecode auf dem Telefon des Benutzers ausführen.

Es betrifft auch Anwendungen von Drittanbietern, da die Sicherheitslücke in der von einigen Mediaplayern verwendeten Bibliothek libstagefright gefunden wurde. Zum Zeitpunkt der Erstellung dieses Artikels liegen der Sicherheitsgemeinschaft keine tatsächlichen Fälle von Angriffen vor, die auf diese Weise durchgeführt wurden.

Es gibt keinen Proof-of-Concept-Code für die Sicherheitslücke, da sie noch nicht gepatcht wurde, aber das Unternehmen wird seine Stagefright-Erkennungs-App aktualisieren, sobald eine Lösung öffentlich veröffentlicht wird.

Die Forscher haben Google am 15. August über die Sicherheitslücke informiert und Google plant, in der zweiten Oktoberwoche im Nexus-Sicherheitsbulletin einen Patch zur Behebung der Sicherheitslücke zu veröffentlichen.

Einige Mobiltelefonhersteller wie Xiaomi, Samsung, HTC und Sony werden auch selbst Upgrade-Patches veröffentlichen, haben die konkreten Pläne jedoch noch nicht bekannt gegeben.

Laut Motherboard wird der Patch in Android Marshmallow integriert sein, allerdings wird er auf die neuesten Geräte beschränkt sein.

Weniger rosig sieht es bei älteren Geräten aus, die keine Upgrades mehr erhalten. Die Sicherheitslücke kann möglicherweise geschlossen werden, doch wenn die Benutzer ihre Telefone nicht manuell auf eine neuere Version aktualisieren, könnten sie jederzeit anfällig sein.

Ein derart groß angelegter Angriff auf das Internet hätte verheerende Folgen, da ein Benutzer lediglich eine URL aufrufen müsste, die eine schädliche Datei enthält. Dies ist leicht möglich, beispielsweise durch die Ausführung eines Download -Befehls in einem scheinbar legitimen Song.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.