WeBLOG
Stagefright-Lücke in Android wird aktiv ausgenutzt (06.08.2015 | Update 10.08.2015)
Die seit der letzten Woche bekannte Lücke im Open-Source-Mediaplayer Stagefright, welche rund 95 % aller Android-Geräte betrifft, wird aktiv ausgenutzt, sprich es kursieren bereits Exploits in freier Wildbahn.

Der Schadcode kann per MMS (Multimedia Messaging Service) kommen - aber es sind auch andere Szenarien* möglich, weil viele Apps Stagefright zum Abspielen von Multimedia-Inhalten verwenden - und hat dann ungehinderten Zugriff auf die Kamera, das Mikrofon und auf Fotos u.s.w.!
Android-Nutzer müssen nun auf die Auslieferung des von Google bereitgestellten Firmwareupdates ihres Betreibers oder Geräteherstellers warten.

Bis dahin sollte im Besonderen der gesunde Menschenverstand zum Einsatz kommen (Hirn 2.0) und aus Sicherheitsgründen der automatische Empfang von MMS-Nachrichten in der verwendeten Standard-Nachrichten-App abgeschaltet werden. Diese App könnte je nach Gerätetyp "Hangouts", "Nachrichten", "Messaging" oder "Messenger" heissen.

Auch ist es sinnvoll eine wirkungsvolle Antivirenlösung, die eine Wächterfunktion in Echtzeit gewährleistet, installiert zu haben (nicht nur für diesen Fall). Z.B. schützen Lookout, Trend Micro Mobile Security oder Malwarebytes Anti-Malware Mobile...bereits zuverlässig vor dem Stagefright-Exploit.

*Folgende Szenarien sind denkbar (über alle Verbindungen wie mobiles Datennetz, NFC, Bluetooth, WLAN, USB):
  • Angriff von einer Anwendung (manipulierten App) aus
  • Angriff über eine manipulierte eMail
  • Angriff von einer URL aus (manipulierte Webseite)
  • Angriff über MMS-Nachricht: Besonders gefährlich, weil im Falle des automatischen Empfangs keine Nutzeraktion erforderlich ist.
In allen Szenarien ist der Auslöser eine "missgestaltete" MP4-Datei, die die Mediaserver-Komponente von Stagefright nicht handeln kann. Das Resultat ist ein sog. Heap Overflow mit der Möglichkeit den Heap (dynamischer Speicher) zu überschreiben, um die Kontrolle über den Ablauf der Ausführung zu erlangen. Das kann dann zum Ausführen weiteren Codes genutzt werden (z.B. um eine schädliche App herunterzuladen und zu installieren) bzw. zur kompletten Übernahme des Geräts durch den Angreifer führen.



Update 10.08.2015:

Kriminelle versuchen die Unsicherheiten um die Stagefright-Lücke zur Verbreitung eines Android-Trojaners zu nutzen. Dazu verschicken sie eMails in korrekter deutscher Sprache mit vermeintlichem Absender Google und wollen die Empfänger dazu verleiten, ein gefälschtes Sicherheitsupdate mit dem Namen CVE-2015-1538.apk per Sideloading zu installieren.

Mitnichten handelt es sich dabei um einen Sicherheitspatch, sondern um ein trojanisches Pferd, das über das Remote-Administrations-Tool DroidJack in jeder beliebigen App versteckt werden kann. Das Ergebnis ist der Remote-Zugriff auf die Kamera, das Mikrofon, die GPS-Funktion und die Möglichkeit, SMS-Nachrichten zu versenden sowie zu telefonieren und Speicherkarten auszulesen. Der Trojaner kommuniziert u.a. mit einem russischen Server names "droid.deutsche-db-bank.ru".
Kommentare (0) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.



 Die Übertragung erfolgt SSL-verschlüsselt, d.h. mit Protokoll https
(mit * kennzeichnet ein Pflichtfeld)
Name*:
eMail-Adresse*:
Homepage:
 Homepage wird zum Kommentar angezeigt
Kommentar*:Zeichen frei:

Datenschutz - Einwilligung DSGVO*:


Sicherheits-Abfrage*:
Bitte geben Sie die Summe als Zahl ein (z.B. VIER+ACHT=12).
Bild mit Rechenaufgabe 
 

Hinweise: Eine eingegebene URL (Internetadresse) wird automatisch erkannt und verlinkt, deshalb bitte keinen HTML-Code eingeben.

Wir behalten uns vor, Kommentare vor der Veröffentlichung zu prüfen (Wir benachrichtigen Sie dann über eine Freigabe per E-Mail). Erst-Kommentare werden grundsätzlich zuvor geprüft. Haben Sie bereits Kommentare mit derselben E-Mail-Adresse abgegeben und wir Sie als vertrauenswürdig eingestuft, wird Ihr Kommentar ohne Prüfung sofort veröffentlicht. Auch in diesem Fall behalten wir uns vor, Kommentare nachträglich zu sperren oder endgültig zu löschen, verletzende oder gesetzlich unzulässige Inhalte zu entfernen oder die Vertrauenswürdigkeit wieder herabzustufen.