Stagefright 2.0: Eine Milliarde Android-Geräte angreifbar

Zimperium zLabs tritt heute mit einer weniger erfreulichen Nachricht an die Öffentlichkeit. Eine weitere Lücke, Stagefright 2.0 getauft, im Android-System betrifft über 1 Milliarde Geräte.

Die kritische Lücke liegt wieder in der Verarbeitung von Mediendateien, daher ordnet man sie namentlich der bereits bekannten Stagefright-Lücke zu. Sowohl die libutils-Bibliothek, als auch wieder libstagefright sind angreifbar. Wie bei der bekannten Stagefright-Lücke, kann auch diesmal wieder durch manipulierte Mediendateien im .mp3- oder .mp4-Format Schadcode auf die Android-Geräte geschleust werden.

Die Lücke in der libutils-Bibliothek betrifft praktisch alle seit 2008 veröffentlichten Android-Geräte, was über eine Milliarde sein sollen. Smartphones und Tablets mit Android 5.0 (oder höher) sind allerdings nur betroffen, wenn auch die zweite gefundene Lücke in libstagefright ausgenutzt wird.

Die Forscher weisen auf mögliche Angriffswege hin, über die Mediendateien mit präparierten Metadaten eingeschleust werden. Am wahrscheinlichsten erfolgt der Angriff über den Webbrowser per manipulierter Website. Weiterhin sind Medienplayer fremder Hersteller gefährdet, zudem könnte es in offenen WLAN-Netzwerken zu Man-in-the-Middle-Angriffen kommen.

Zimperium hat die Lücke bereits am 15. August an Google gemeldet. Nexus-Geräte dürften beim nächsten Patchday einen Fix erhalten. Weiterhin hat Google seinen Partnern am 10. September Patches zur Verfügung gestellt. Hier bleibt nun abzuwarten, wann diese an die Nutzer weitergereicht werden.