Sicherheitsforscher wollen mit ihrem Stagefright-Exploit Hersteller dazu bewegen, Updates herauszugeben.
Die Entdecker der Stagefright-Lücken von Zimperium haben einen funktionierenden Exploit zum Ausnutzen der Schwachstellen veröffentlicht. Damit sollen Hersteller ihre Android-Modelle prüfen, um Updates zu entwickeln.
Bislang kursierte nur ein Proof of Concept im Internet, mit dem man Androids Multimedia-Framework Stagefright zum Absturz bringen kann. Zimperium wollte den Exploit eigentlich schon am 5. August im Rahmen der Hacker-Konferenz Black Hat veröffentlichen. Eigenen Angaben zufolge haben Gespräche mit Herstellern und Mobilfunkprovidern die Veröffentlichung verzögert. Gefährliches Video im Eigenbau
Über den Exploit kann man von Nutzern unbemerkt Schadcode aus der Ferne ausführen. Als Einfallstor dient dabei die Lücke mit der Bezeichnung CVE-2015-1538, die Zimperium als die kritischste einstuft. Nutzer von Geräten die mindestens Android 5.0 installiert haben, sollen weniger anfällig für die Stagefright-Lücken sein. Hier greifen Schutzmaßnahmen gegen derartige Integer-Overflow-Attacken.
Das Erzeugen des MP4-Videos mit Schadcode gelingt über ein Python-Skript. Öffnet man das Video auf einem verwundbaren Gerät, könne man etwa die Kontrolle über Kamera und Mikrofon übernehmen.
Zimperium hat den Exploit auf einem nicht näher beschriebenen Gerät der Nexus-Serie mit Android 4.0.4 erfolgreich getestet. Im Test der Sicherheitsforscher stellte sich heraus, dass das Ausnutzen der Lücke erst nach mehreren Versuchen funktionierte.
Ende Juli warnte der Sicherheitsforscher Joshua Drake von Zimperium zLabs vor Sicherheitslücken in der Multimedia-Schnittstelle Stagefright von Android-Geräten. Angreifer können Geräte unter anderem über eine MMS-Nachricht oder ein manipuliertes Video auf einer Webseite attackieren und in eine Wanze verwandeln.
Mit der kostenlosen Stagefright Detector App können Nutzer prüfen, ob ihr Gerät für die Stagefright-Lücken anfällig ist.