Was Sie über Stagefright 2.0 wissen müssen

In den letzten Monaten gab es eine Reihe von Problemen, die im Volksmund Stagefright hießen. Dieser Name wurde verdient, weil die meisten der gefundenen Probleme mit libstagefright in Android zu tun haben. Die Sicherheitsfirma Zimperium hat das veröffentlicht, was sie Stagefright 2.0 nennt. Zwei neue Probleme betreffen MP3- und MP4-Dateien, die manipuliert werden können, um bösartigen Code auf Ihrem Telefon auszuführen.

Folgendes wissen wir bisher und wie Sie sich schützen können.

Was ist Stagefright 2.0?

Laut Zimperium können zwei kürzlich entdeckte Sicherheitslücken es einem Angreifer ermöglichen, ein Android-Telefon oder -Tablet mit einer Datei zu versehen, die wie eine MP3- oder MP4-Datei aussieht. Wenn also die Metadaten für diese Datei vom Betriebssystem in der Vorschau angezeigt werden, könnte diese Datei ausgeführt werden Schadcode. Im Falle eines Man-in-the-Middle-Angriffs oder einer Website, die speziell für die Bereitstellung dieser fehlerhaften Dateien erstellt wurde, kann dieser Code ausgeführt werden, ohne dass der Benutzer dies jemals bemerkt.

Zimperium behauptet, die Remote-Ausführung bestätigt und Google am 15. August darauf aufmerksam gemacht zu haben. Als Reaktion darauf hat Google dem Paar gemeldeter Probleme CVE-2015-3876 und CVE-2015-6602 zugewiesen und mit der Arbeit an einer Lösung begonnen.

Ist mein Handy oder Tablet betroffen?

Auf die eine oder andere Weise ja. CVE-2015-6602 bezieht sich auf eine Sicherheitsanfälligkeit in libutils, und wie Zimperium in seinem Beitrag mitteilt, wirkt sich diese Sicherheitsanfälligkeit auf alle Android-Telefone und -Tablets aus, die bis Android 1.0 zurückreichen. CVE-2015-3876 wirkt sich auf alle Android 5.0- und höher-Handys oder -Tablets aus und könnte theoretisch über die Website oder über einen Mann im mittleren Angriffsbereich bereitgestellt werden.

JEDOCH.

Derzeit gibt es keine öffentlichen Beispiele für diese Sicherheitsanfälligkeit, die jemals dazu verwendet wurden, um außerhalb der Laborbedingungen etwas auszunutzen, und Zimperium plant nicht, den Proof-of-Concept-Exploit zu veröffentlichen, mit dem Google dieses Problem demonstriert wurde. Während es möglich ist, dass jemand anderes diesen Exploit herausfindet, bevor Google einen Patch veröffentlicht, ist es unwahrscheinlich, dass die Details hinter diesem Exploit weiterhin privat bleiben.

Was macht Google dagegen?

Laut einer Erklärung von Google behebt das Sicherheitsupdate vom Oktober diese beiden Sicherheitsanfälligkeiten. Diese Patches werden in AOSP erstellt und ab dem 5. Oktober für Nexus-Benutzer bereitgestellt. Adleraugen-Leser haben möglicherweise bemerkt, dass auf dem Nexus 5X und Nexus 6P, die wir kürzlich angeschaut haben, bereits das Update vom 5. Oktober installiert war. Wenn Sie also eines dieser Telefone vorbestellt haben, wird Ihre Hardware mit Patches gegen diese Sicherheitsanfälligkeiten geliefert. Weitere Informationen zum Patch finden Sie am 5. Oktober in der Google-Sicherheitsgruppe für Android.

Bei Nicht-Nexus-Handys stellte Google den Partnern am 10. September das Sicherheitsupdate für Oktober zur Verfügung und arbeitete mit OEMs und Betreibern zusammen, um das Update so schnell wie möglich bereitzustellen. Wenn Sie sich die Liste der Geräte ansehen, die im letzten Stagefright-Exploit gepatcht wurden, erhalten Sie einen guten Überblick darüber, welche Hardware in diesem Prozess als Priorität eingestuft wird.

Wie kann ich sicher sein, bis der Patch für mein Telefon oder Tablet eintrifft?

Für den Fall, dass jemand wirklich mit einem Stagefright 2.0-Exploit herumläuft und versucht, Android-Benutzer zu infizieren, was wiederum aufgrund fehlender öffentlicher Daten höchst unwahrscheinlich ist, hat der Schlüssel zur Sicherheit alles damit zu tun, dass Sie darauf achten, wo Sie sich befinden. Surfen Sie und was Sie verbunden sind.

Vermeiden Sie nach Möglichkeit öffentliche Netzwerke, verlassen Sie sich nach Möglichkeit auf die Zwei-Faktor-Authentifizierung und halten Sie sich so weit wie möglich von schattigen Websites entfernt. Meistens vernünftiges Webmaterial, um sich selbst zu schützen.

Ist das das Ende der Welt?

Nicht mal ein bisschen. Alle Schwachstellen von Stagefright sind in der Tat schwerwiegend und müssen als solche behandelt werden. Die Kommunikation zwischen Zimperium und Google, um sicherzustellen, dass diese Probleme so schnell wie möglich behoben werden, war jedoch fantastisch. Zimperium hat zu Recht auf Probleme mit Android aufmerksam gemacht, und Google hat eingegriffen, um diese zu beheben. In einer perfekten Welt würden diese Sicherheitslücken nicht existieren, aber sie werden schnell behoben. Kann nicht viel mehr verlangen, angesichts der Situation, in der wir uns befinden.