Unvollständiger Stagefright-Patch von Google lässt Android-Nutzer den Hackern ausgeliefert

Forscher entdecken Mängel im halbherzigen Stagefright-Patch, das von Google für Android-Smartphones und -Tablets herausgegeben wurde

Es scheint, dass der Stagefright-Bug von Android Google wirklich zu schaffen macht. Die Behebung des ‘Stagefright-Bugs’ auf Android-Geräten dauert länger als Google gehofft hatte!

Gegen Ende des letzten Monats, als der Sicherheitsforscher Joshua Drake die Details der Stagefright-Sicherheitsanfälligkeit aufdeckte, war Google schnell genug, um die erforderlichen Patches bereitzustellen. Verschiedene andere Android-Hersteller und Anbieter schlossen sich ebenfalls zusammen, um das Problem auf den meisten Android-Geräten zu beheben. Einige von ihnen kündigten auch an, monatliche Patches herauszugeben, die tatsächlich als Folge des Stagefright-Bugs festgelegt wurden.

Es scheint jedoch, dass die von Google veröffentlichten Patches halbherzig und hastig erstellt wurden. Die Forscher von Exodus Intelligence haben einen Mangel bei einem der von Google herausgegebenen Patches entdeckt und sie sagen, dass das Android-Gerät unter geeigneten Bedingungen immer noch anfällig für den Stagefright-Angriff ist.

Es sind gerade einmal acht Tage vergangen, seit Google, Android-Hersteller und Anbieter geeignete Patches für ihre jeweiligen Geräte herausgegeben haben. Nach der Bereitstellung des Patches konnten die Forscher von Exodus Intelligence erfolgreich einen Systemabsturz auf einem Android-Gerät auslösen. Es scheint, dass das Forschungsteam eine entsprechend codierte mp4-Datei über MMS verwendet hat, um das Telefon anzugreifen.

Forscher sendeten eine Erklärung per E-Mail: “Die Zusammenfassung ist, dass die Stagefright-Sicherheitsanfälligkeit weiterhin ausnutzbar ist und der implementierte 4-zeilige Patch fehlerhaft ist. Wir konnten den Fehler auslösen, der immer noch über 950 Millionen Android-Geräte betrifft.”

Derzeit ist unklar, ob der Bug nur für die Codeausführung ausgenutzt werden kann oder ob er auch für einen Systemabsturz verwendet werden kann.

Andererseits, sobald Exodus das Problem zusammen mit dem Patch an Google meldete, hat Google sofort den Patch für den Mangel Open Source gemacht.

Google hat bestätigt, dass es bereits einen zweiten Patch für das Problem versendet hat.

In einer Erklärung sagte Google: “Wir haben den Fix bereits an unsere Partner gesendet, um die Nutzer zu schützen, und Nexus 4/5/6/7/9/10 sowie Nexus Player werden das OTA-Update im September-Sicherheitsupdate erhalten.”

Derzeit ist nicht bestätigt, ob auch Nicht-Nexus-Telefone den zweiten Patch erhalten werden; es scheint jedoch, dass die Geräte mit diesem neuen Patch im monatlichen Patch-System ausgestattet werden, das bald, wie bereits zuvor von Google, Android-Herstellern und einigen Anbietern bestätigt, herausgegeben wird.

Normalerweise, wann immer ein Bug oder eine Sicherheitsanfälligkeit entdeckt wird, muss es eine standardmäßige 30-tägige Benachrichtigungsfrist geben, die dem Unternehmen ausreichend Zeit geben würde, um den Mangel zu verstehen und einen geeigneten Patch zur Minderung des Problems bereitzustellen. Die Forscher von Exodus Intelligence haben den Bug jedoch ziemlich schnell offengelegt, und Google hatte weniger als eine Woche Zeit, um den Patch für den hervorgehobenen Mangel zu entwerfen und bereitzustellen.

Exodus ist jedoch der Meinung, dass der Mangel Teil der Offenlegung der Stagefright-Sicherheitsanfälligkeit war, die Google bereits vor etwa vier Monaten gemeldet wurde, und überraschenderweise verwendete Google immer noch einen fehlerhaften Patch. Daher konnte Exodus unter den aktuellen Umständen, in denen ein intensives öffentliches Bewusstsein für den Stagefright-Angriff besteht, den Bug nicht geheim halten.

Exodus fügte hinzu:

“Es wurde übermäßig viel Aufmerksamkeit auf den Bug gelenkt. Wir glauben, dass wir wahrscheinlich nicht die einzigen sind, die bemerkt haben, dass er fehlerhaft ist. Andere könnten böswillige Absichten haben.“

Google hat jedoch die Bedeutung von Minderungssystemen wie der Address Space Layout Randomization (ASLR) betont, die in den Android-Geräten vorhanden sind. Es hat eine Erklärung abgegeben, die besagt: “Derzeit haben über 90 % der Android-Geräte eine Technologie namens ASLR aktiviert, die die Nutzer vor diesem Problem schützt.”

Nun, für den Moment müssen Android-Nutzer vorsichtig und wachsam sein, wenn sie Nachrichten von unbekannten Quellen öffnen. Bitte beziehen Sie sich auf die detaillierte Analyse von Stagefright und wie man den Stagefright-Angriff in unserem früheren Artikel stoppen kann.