Die letzten Monate waren von großer Unsicherheit im Zusammenhang mit einer Reihe von Problemen geprägt, die im Volksmund genannt werden Lampenfieber, ein Name, der sich verdient hat, weil die meisten der gefundenen Probleme mit libstagefright in Android zu tun haben. Die Sicherheitsfirma Zimperium hat das sogenannte Stagefright 2.0 veröffentlicht, mit zwei neuen Problemen im Zusammenhang mit MP3- und MP4-Dateien, die manipuliert werden könnten, um Schadcode auf Ihrem Telefon auszuführen.
Hier erfahren Sie, was wir bisher wissen und wie Sie sich selbst schützen können.
Was ist Stagefright 2.0?
Laut Zimperium ermöglichen zwei kürzlich entdeckte Schwachstellen es einem Angreifer, ein Android-Telefon einzuschleusen bzw Tablet mit einer Datei, die wie eine MP3- oder MP4-Datei aussieht. Wenn also die Metadaten für diese Datei vom Betriebssystem in der Vorschau angezeigt werden, könnte diese Datei ausgeführt werden Schadcode. Im Falle eines Man-in-the-Middle-Angriffs oder einer Website, die speziell für die Bereitstellung dieser fehlerhaften Dateien erstellt wurde, könnte dieser Code ausgeführt werden, ohne dass der Benutzer es jemals merkt.
Zimperium gibt an, die Fernausführung bestätigt zu haben und machte Google am 15. August darauf aufmerksam. Als Reaktion darauf ordnete Google den beiden gemeldeten Problemen CVE-2015-3876 und CVE-2015-6602 zu und begann mit der Arbeit an einer Lösung.
Ist mein Telefon oder Tablet betroffen?
Auf die eine oder andere Weise, ja. CVE-2015-6602 bezieht sich auf eine Sicherheitslücke in libutils, und wie Zimperium in seinem Beitrag zur Bekanntgabe der Entdeckung dieser Sicherheitslücke betont, betrifft sie jedes Android-Telefon und -Gerät Tablet seit Android 1.0. CVE-2015-3876 betrifft jedes Telefon oder Tablet mit Android 5.0 und höher und könnte theoretisch über eine Website oder Man-in-the-Middle verbreitet werden Attacke.
JEDOCH.
Derzeit gibt es keine öffentlichen Beispiele dafür, dass diese Schwachstelle jemals für eine Ausnutzung außerhalb des Labors ausgenutzt wurde Bedingungen, und Zimperium plant nicht, den Proof-of-Concept-Exploit, den sie zur Demonstration dieses Problems verwendet haben, mit anderen zu teilen Google. Es ist zwar möglich, dass jemand anderes diesen Exploit herausfindet, bevor Google einen Patch veröffentlicht, aber da die Details hinter diesem Exploit noch immer geheim gehalten werden, ist dies unwahrscheinlich.
Was unternimmt Google dagegen?
Laut einer Aussage von Google behebt das Sicherheitsupdate vom Oktober beide Schwachstellen. Diese Patches werden in AOSP erstellt und ab dem 5. Oktober für Nexus-Benutzer bereitgestellt. Aufmerksamen Lesern ist vielleicht aufgefallen, dass das Nexus 5X und das Nexus 6P, die wir uns kürzlich angesehen haben, bereits den 5. Oktober hatten Das Update ist installiert. Wenn Sie also eines dieser Telefone vorbestellt haben, wird Ihre Hardware entsprechend gepatcht ankommen Schwachstellen. Weitere Informationen zum Patch finden Sie im Google-Gruppe für Android-Sicherheit am 5. Oktober.
Was Nicht-Nexus-Telefone betrifft, stellte Google seinen Partnern am 10. September das Oktober-Sicherheitsupdate zur Verfügung und arbeitete mit OEMs und Mobilfunkanbietern zusammen, um das Update so schnell wie möglich bereitzustellen. Wenn Sie einen Blick auf die Liste der Geräte werfen, die im letzten Stagefright-Exploit gepatcht wurden, erhalten Sie einen guten Überblick darüber, welche Hardware in diesem Prozess als vorrangig angesehen wird.
Wie bleibe ich sicher, bis der Patch für mein Telefon oder Tablet eintrifft?
Für den Fall, dass tatsächlich jemand mit einem Stagefright 2.0-Exploit herumläuft und versucht, Android-Nutzer zu infizieren, ist das wiederum höchst unwahrscheinlich Aufgrund des Mangels an öffentlichen Informationen liegt der Schlüssel zur Sicherheit darin, darauf zu achten, wo Sie surfen und womit Sie verbunden sind.
Vermeiden Sie nach Möglichkeit öffentliche Netzwerke, verlassen Sie sich wann immer möglich auf die Zwei-Faktor-Authentifizierung und halten Sie sich so weit wie möglich von zwielichtigen Websites fern. Hauptsächlich Webmaterial mit gesundem Menschenverstand, um sich selbst zu schützen.
Ist das das Ende der Welt?
Nicht einmal ein bisschen. Obwohl alle Stagefright-Schwachstellen tatsächlich schwerwiegend sind und als solche behandelt werden müssen, Kommunikation zwischen Zimperium und Google, um sicherzustellen, dass diese Probleme so schnell wie möglich behoben werden war fantastisch. Zimperium hat zu Recht auf Probleme mit Android aufmerksam gemacht und Google ist zur Lösung eingeschritten. In einer perfekten Welt gäbe es diese Schwachstellen nicht, aber sie existieren und werden schnell behoben. Angesichts der Situation, in der wir uns befinden, kann man nicht viel mehr verlangen.