Kritische Sicherheitslücken in fast allen Android-Versionen

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33199
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Kritische Sicherheitslücken in fast allen Android-Versionen

Beitrag von doelf » 28 Jul 2015, 11:39

Googles mobiles Betriebssystem Anroid umfasst seit Jahren die Multimedia-Bibliothek "Stagefright" und diese enthält wiederum mehrere kritische Sicherheitslücken. Nach Angaben der Sicherheitsfirma Zimperium handelt es sich um die schlimmsten Schwachstellen, die jemals in Android entdeckt wurden. Betroffen sind alle Versionen von 2.2 bis zum aktuellen Android 5.1.1.

Joshua J. Drake von Zimperium hatte sich "Stagefright" näher angesehen und war dabei auf sieben kritische Sicherheitslücken - CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829 - gestoßen. Da die Multimedia-Bibliothek aus Geschwindigkeitsgründen in C++ geschrieben wurde, mussten die Entwickler selbst für ausreichende Speicherschutzmaßnahmen sorgen und haben an mehreren Stellen gepatzt. Diese Schwachstellen lassen sich aus der Ferne angreifen und hinterlassen nicht einmal Spuren.

Beispielsweise beschreibt Zimperium eine Attacke über MMS- oder Hangouts-Mitteilungen, welche speziell präparierte Inhalte umfassen. Eine Schutzmöglichkeit gibt es nicht, denn diese Inhalte werden selbst dann verarbeitet, wenn man die Mitteilung gar nicht öffnet. Für den Angriff reicht es bereits, dass Android eine Vorschau für den Hinweis auf die neu eingetroffene Mitteilung generiert. Dabei wird Schadcode eingeschleust und im schlimmsten Fall mit vollen Systemrechten ausgeführt. Die Angreifer können auf Mikrofon, Kamera und Eingaben zugreifen, Daten stehlen und auch ihre Spuren verwischen. Mit Android 4.1 (Jelly Bean) hatte Google Sicherheitsmaßnahmen eingeführt, die solche Angriff erschweren, aber keinesfalls unterbinden. Als Beleg zeigt Zimperium Bildschirmfotos vom Angriff auf ein Nexus 5, auf dem das aktuelle Android 5.1.1 (Lollipop) läuft.

Nach Angaben der Sicherheitsexperten sind 95 Prozent der aktuell in Betrieb befindlichen Android-Geräte betroffen, das wären dann rund 950 Millionen Ziele. Zimperium hat alle sieben Schwachstellen behoben und den Code an Google übergeben. Google hat die Flicken bereits in die Android-Entwicklung übernommen, doch bis erste Updates auf den Geräten der Endkunden landen, dürften noch ein paar Monate vergehen. Geräte, deren Markteinführung mehr als ein Jahr zurückliegt, werden vermutlich gar keine Updates erhalten und bleiben somit dauerhaft ungeschützt.

Zwei Firmen haben bereits reagiert: SilentCircle hat für sein Blackphone, auf dem der Android-Abkömmling PrivatOS läuft, ein Update veröffentlicht. Ab der Version 1.1.7 ist PrivatOS vor Stagefright-Angriffen geschützt. Auch Mozillas Firefox nutzt die Stagefright-Bibliothek seit Ende 2012, beispielsweise für die Wiedergabe von H.264-Videos. Mozilla hat seinen Internetbrowser seit der Version 38.0 abgedichtet. Zimperium will weitere Details über die Sicherheitslücken und seine Exploits am 5. August 2015 auf der Black Hat USA und am 7. August 2015 auf der DEF CON 23 präsentieren.

Quelle:
http://blog.zimperium.com/experts-found ... f-android/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten