razzor1984
BIOS-Overclocker(in)
Die bis dato schwerwiegenste Sicherheitslücke unter Android.
Stagefright wird der Bug deswegen genannt weil das Multimedia-Framework von Android diesen Namen hat. Die Lücke ist deswegend so schwerwiegend, weil das Multimedia-Framework bis vor kurzen noch über sehr viele Rechte verfügte.
Ausnutzen lässt sich dieser Bug, laut Trend Micor sehr einfach, es genügt ein dirty MP4 file welche physikalisch abgspielt wird oder auch nur in einem Browser angezeigt wird(selbst das trifft auch nicht immer zu sondern ist App abhängig).Durch dieses Dirty-Mp4 file wird ein „Speicherüberlauf“ herbeigeführt und dass shielding(Sandbox) der apps funktioniert nicht mehr. Nach dem „Speicherüberlauf“ kann beliebiger code ausgeführt werden (Was bei einem OS das Todesurteil ist )
Im Versuchsaufbau von Trend micro half selbst das Deaktivieren von videos im Browser(Chrome) nichts, chrome crashte und der Bug entfaltete trotzdem seine Wirkung.
Weiters lässt sich der Bug auch über eine Dirty-MMS ausnutzen!
Bedingt durch den Aufbau des „BUGS“ hängt es auch ab mit welcher App man ein Dirty-MMS ließt, oder dirty Mp4 files empfängt. Bei Hangouts genügt schon der Empfang eines Dirty Mp4 files, weil die App media files schon vor bearbeitet, um ein flüssigeres abspielen zu gewärhleisten.
Was kann man machen?
Wenn man nicht eine aktuelle CM version hat, oder eine AOSP version, muss man auf ein Herstellerupdate warten.
Leider werden das viele Android geräte nicht bekommen.Der Stagefright Bug zeigt jetzt nochmals auf wie „krank“ die update Politik von Android ist und wie gefährlich es sein kann
Welches Versionen sind betroffen?
Nach jetzigem Standpunkt ab 2.2
Stand der Fixes bei CM:
https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
*******************************************************************************************Update******************************************************************************************************************
Man kann testen ob sein eigenes Device schon gefixed ist oder nicht dazu gibt es eine App die die ganzen schwachstellen abtestet!
https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector
Quellen:
Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv - Golem.de
Simple Text Message to Hack Any Android Phone Remotely
https://www.ibtimes.co.uk/stagefrig...ol-your-smartphone-by-sending-message-1512909
Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu | heise Security
Stagefright wird der Bug deswegen genannt weil das Multimedia-Framework von Android diesen Namen hat. Die Lücke ist deswegend so schwerwiegend, weil das Multimedia-Framework bis vor kurzen noch über sehr viele Rechte verfügte.
Ausnutzen lässt sich dieser Bug, laut Trend Micor sehr einfach, es genügt ein dirty MP4 file welche physikalisch abgspielt wird oder auch nur in einem Browser angezeigt wird(selbst das trifft auch nicht immer zu sondern ist App abhängig).Durch dieses Dirty-Mp4 file wird ein „Speicherüberlauf“ herbeigeführt und dass shielding(Sandbox) der apps funktioniert nicht mehr. Nach dem „Speicherüberlauf“ kann beliebiger code ausgeführt werden (Was bei einem OS das Todesurteil ist )
Im Versuchsaufbau von Trend micro half selbst das Deaktivieren von videos im Browser(Chrome) nichts, chrome crashte und der Bug entfaltete trotzdem seine Wirkung.
Weiters lässt sich der Bug auch über eine Dirty-MMS ausnutzen!
Bedingt durch den Aufbau des „BUGS“ hängt es auch ab mit welcher App man ein Dirty-MMS ließt, oder dirty Mp4 files empfängt. Bei Hangouts genügt schon der Empfang eines Dirty Mp4 files, weil die App media files schon vor bearbeitet, um ein flüssigeres abspielen zu gewärhleisten.
Was kann man machen?
Wenn man nicht eine aktuelle CM version hat, oder eine AOSP version, muss man auf ein Herstellerupdate warten.
Leider werden das viele Android geräte nicht bekommen.Der Stagefright Bug zeigt jetzt nochmals auf wie „krank“ die update Politik von Android ist und wie gefährlich es sein kann
Welches Versionen sind betroffen?
Nach jetzigem Standpunkt ab 2.2
Stand der Fixes bei CM:
https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
*******************************************************************************************Update******************************************************************************************************************
Man kann testen ob sein eigenes Device schon gefixed ist oder nicht dazu gibt es eine App die die ganzen schwachstellen abtestet!
https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector
Quellen:
Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv - Golem.de
Simple Text Message to Hack Any Android Phone Remotely
https://www.ibtimes.co.uk/stagefrig...ol-your-smartphone-by-sending-message-1512909
Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu | heise Security
Zuletzt bearbeitet: