Schwerwiegend

Android-Sicherheit: Stagefright-Lücke weitet sich aus

Wie gefährlich ist die Sicherheitslücke Stagefright? Sicher ist: Sie ist nicht auf MMS beschränkt, sondern lässt sich mit beliebigen Video-Dateien ausnutzen.
Von Hans-Georg Kluge

Stagefright: Bald sind erste Exploits zu erwarten. Stagefright: Bald sind erste Exploits zu erwarten.
Bild: dpa Vor einer Woche machte die Sicher­heits­lücke mit dem Namen Stagefright die Runde: Eine MMS genügt demnach, um ein Smart­phone zum Absturz zu bringen oder es mit Spyware zu kapern. Nun zeigt sich: Die Lücke ist auch beim surfen gefährlich, denn auch Video-Dateien können das anfällige System aus dem Tritt bringen. Wie heise online berichtet, sind inzwischen inzwischen erste Demo-Exploits aufgetaucht, die Sicher­heits­lücke auszunutzen.

Stagefright ist eine Software-Bibliothek, die unter anderem dann zum Einsatz kommt, wenn eine App Informationen aus einer Video-Datei oder einem -Stream ausliest.

Ausgeweitet: Stagefright geht auch ohne MMS

Stagefright: Bald sind erste Exploits zu erwarten. Stagefright: Bald sind erste Exploits zu erwarten.
Bild: dpa Zuletzt hatte TrendMicro belegt, dass die Stagefright-Lücke nicht nur mit einer MMS ausgenutzt werden kann, sondern auch dann auftritt, wenn einzelne Video-Dateien abgespielt werden. Da auch mobile Browser Stagefright einsetzen, ist es also theoretisch möglich, dass eine manipulierte Video-Datei beim Surfen auf das Smart­phone gelangt.

Google hat zwischenzeitlich einen Stagefright-Patch bereitgestellt. Der öffentlich einsehbare Quelltext von Android hat nun aber zur Folge, dass böswillige Entwickler nachvollziehen können, welche Maßnahmen zum Schutz vor Stagefright implementiert wurden. Das erleichtert wiederum die Entwicklung von Software, die die Sicherheitslücke ausnutzt. Nun rechnet die Szene der Sicherheitsforscher damit, dass Exploit-Entwickler daran arbeiten, die Stagefright-Lücke aktiv auszunutzen. heise online berichtet unter anderem über einen chinesischen Blog, das weitere Details und einen Demo-Code für einen Exploit veröffentlicht hat. Die Stagefright-Entdecker wollen am 6. August weitere Informationen veröffentlichen.

Vor diesem Hintergrund zeigt sich, dass die Sicherheitslücke vor allem für Nutzer älterer Android-Smartphones zum Risiko werden könnte.

Stagefright: Hier gibt es schon Patches

Der amerikanische Netzbetreiber Sprint hat mittlerweile ein Update für das Samsung Galaxy Note 4 veröffentlicht, das die Stagefright-Lücke schließen soll.

Die Entwickler der Android-Firmware CyanogenMod haben ebenfalls einen Patch gegen Stagefright implementiert. Der Fehler sollte in aktuellen Builds von CyanogenMod 12 und 12.1 behoben sein. Auch CyanogenMod 11 werde das Update bald erhalten.

Vermutlich werden die Smart­phone-Hersteller im Laufe der Zeit ihre Smart­phones gegen Stagefright absichern. Garantien dafür gibt es jedoch nicht.

Mehr zum Thema Sicherheitslücke