Stagefright 2.0 – neue Sicherheitslücke in Android

Im Juli hatten die Sicherheitsexperten von Zimperium vor einer gefährlichen Stagefright-Lücke im Android-Betriebssystem erstmals öffentlich gewarnt. Jetzt meldeten sich die Experten wieder mit Hinweisen auf zwei weitere Sicherheitslöcher im Multimedia-Bereich von Android, die sie als Stagefright 2.0 bezeichnen. Entdeckt wurden Sicherheitslücken in den Android-Bibliotheken Libutils und Libstagefright.  

Gefahr durch manipulierte MP3- und MP4-Dateien

Bei beiden Sicherheitslücken kann durch manipulierte MP3- oder MP4-Dateien Schadcode eingeschleust werden. Laut Zimperium genügt bereits eine Vorschau des manipulierten Songs oder Videos, um den Schadcode auszuführen. Angreifer könnten so Daten auslesen sowie Mikrofon und Kamera steuern.

Über die Lücke in Libutils sind nach Angaben von Zimperium alle Android-Geräte seit Version 1.0 angreifbar. Google hat dieser Schwachstelle die Bezeichnung CVE-2015-6602 gegeben. Die Sicherheitslücke in Libstagefright betrifft dagegen speziell Geräte ab Android-Version 5.0.

Lesetipp: Stagefright bedroht Android-Smartphones

Nachdem der ursprüngliche Stagefright-Angriffsweg über MMS durch Updates in Google Hangouts und den Android-Messenger-Apps auf vielen Smartphones mittlerweile abgesichert ist, führt das wahrscheinlichste Angriffsszenario laut Zimperium nun über den Web-Browser und präparierte Webseiten oder über Media-Player-Apps, die die genannten Bibliotheken nutzen.

Patch für Nexus-Modelle in der nächsten Woche

Für die neuen Sicherheitslücken gibt es bislang noch keinen Patch. Google will jedoch in der nächsten Woche einen Patch für Nexus-Geräte bereitstellen, der beide Sicherheitslücken schließen soll. Wann andere Hersteller einen Patch für ihre Android-Geräte anbieten werden, ist bislang nicht bekannt. 

Wie Zimperium mitteilt, gibt es bislang keine Hinweise, dass die Stagefright-2.0-Lücken derzeit von Hackern ausgenutzt werden.