Apps Stagefright Sicherheitslücke in Android

[Mi-Cheffe]

Wer davon noch nichts gehört hat sollte sich mal diesen Bericht durchlesen.

http://www.golem.de/news/stagefright-si ... 15610.html

Im Playstore habe ich mir eine App geholt mit der man testen kann ob das eigene Smartphone davon betroffen ist.

Stagefright Detector

Beim Mi4 und Kitkat wurde die Lücke allem Anschein nach schon geschlossen, beim Mi4i und Lollipop nicht, ebenso nicht bei meinem Sony Xperia Z Tab und Lollipop.

Es wird glaube ich schön langsam Zeit das solche sicherheitsupdates direkt von Google verteilt werden ohne den Umweg über die Hersteller und Mobilfunk Provider die das nur unnötig verzögern. Das ist halt ein großer Vorteil von Apple, da geht sowas direkt an die Geräte.

Servus

Robert

 

[Mi-Cheffe]

Ich habe bei Miui indonesia und Mi indonesia über Twitter mal angefragt ob da bald ein Update kommt. [emoji41] [emoji41]

Miui indonesia hat meinen Tweet gleich Retweetet [emoji6] die sind da selbst abhängig von Miui. Die müssen auch warten bis ihnen das Update zur Verfügung gestellt wird. Aber die Jungs sind richtig gut hier und sehr nett [emoji106] [emoji106] mal sehen ob sich da was bewegt in nächster Zeit.



Gesendet vom besseren iPhone..Mi4!

 

[balu_baer]

die cMIUI aus dem August ist auch sauber

 

[Mi-Cheffe]

Die cMiui ist auf meinem Mi4 Installiert

Was ich schwach finde ist das 4.4 und Mi4 sicher ist, dagegen 5.0 und Mi4i die Lücke immer noch besteht.

Das Beispiel zeigt das in diesem fall die neueste Android Version nicht Automatisch auch die Sicherste ist.

Da könnten sie schon einen Gang zulegen die Jungs.

 

[balu_baer]

Blöd ...

Stagefright-Lücken in Android: Googles Patch ist fehlerhaft
http://www.heise.de/newsticker/meldung/ ... 79034.html

Zitat:

Die Geräte seiner Nexus-Serie hat Google schon gegen die Stagefright-Bugs abgesichert. Doch ein Patch wurde nicht sauber programmiert und Angreifer könnten das als Einfallstor für DoS-Angriffe ausnutzen.

Die Entwickler von Google haben bei der Erstellung eines Patches für einen Stagefright-Bug nicht aufgepasst, denn Angreifer können Android-Geräte immer noch über manipulierte Videos zum Absturz bringen. Das haben Sicherheitsforscher von Exodus Intelligence herausgefunden. Dabei attackierten sie Geräte im Zuge eines Pufferüberlaufes mit einem DoS-Angriff.
Fehlerfreier Patch im September

Google zufolge steht eine überarbeitete Version des Patches bereit. Die Auslieferung soll für die Geräte Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player am neu eingeführten Patchday im September beginnen.

Das Android Open Source Project und verschiedene Smartphone-Hersteller wollen den neuen Patch in der nächsten Update-Welle ausspielen. Wann das soweit sein wird ist unklar, denn viele Hersteller haben bisher noch gar keine der Stagefright-Lücken gestopft.

Stagefright ist eine Multimedia-Komponente des Android-Systems und rund 95 Prozent aller Android-Geräte sind über verschiedene Schwachstellen verwundbar. Dabei können Angreifer über manipulierte Videos, etwa in MMS-Nachrichten oder auf Webseiten, Schadcode auf die Handhelds schmuggeln

Mal sehen, wann Xiaomi nachlegt

 

[keks66]

Mit den aktuellen Roms 5.8.20 laut ist der aktualisierten detector app alles im grünen Bereich! (Getestet auf Mi4, Redmi Note 4G und 1S).
Auf dem Mi4iiii hab ich noch 5.8.6, da ist noch ein Testergebnis rot. Mal sehen, wann ich mich da mal an ein Update mache...

 

[mittei]

Nach dem letzten Google update beim Mi2s

 

[balu_baer]

Artikel auf heise.de:

Android: Stagefright-Exploit veröffentlicht

Sicherheitsforscher wollen mit ihrem Stagefright-Exploit Hersteller dazu bewegen, Updates herauszugeben.

Die Entdecker der Stagefright-Lücken von Zimperium haben einen funktionierenden Exploit zum Ausnutzen der Schwachstellen veröffentlicht. Damit sollen Hersteller ihre Android-Modelle prüfen, um Updates zu entwickeln.

Bislang kursierte nur ein Proof of Concept im Internet, mit dem man Androids Multimedia-Framework Stagefright zum Absturz bringen kann. Zimperium wollte den Exploit eigentlich schon am 5. August im Rahmen der Hacker-Konferenz Black Hat veröffentlichen. Eigenen Angaben zufolge haben Gespräche mit Herstellern und Mobilfunkprovidern die Veröffentlichung verzögert.
Gefährliches Video im Eigenbau

Über den Exploit kann man von Nutzern unbemerkt Schadcode aus der Ferne ausführen. Als Einfallstor dient dabei die Lücke mit der Bezeichnung CVE-2015-1538, die Zimperium als die kritischste einstuft. Nutzer von Geräten die mindestens Android 5.0 installiert haben, sollen weniger anfällig für die Stagefright-Lücken sein. Hier greifen Schutzmaßnahmen gegen derartige Integer-Overflow-Attacken.

Das Erzeugen des MP4-Videos mit Schadcode gelingt über ein Python-Skript. Öffnet man das Video auf einem verwundbaren Gerät, könne man etwa die Kontrolle über Kamera und Mikrofon übernehmen.

Zimperium hat den Exploit auf einem nicht näher beschriebenen Gerät der Nexus-Serie mit Android 4.0.4 erfolgreich getestet. Im Test der Sicherheitsforscher stellte sich heraus, dass das Ausnutzen der Lücke erst nach mehreren Versuchen funktionierte.

Ende Juli warnte der Sicherheitsforscher Joshua Drake von Zimperium zLabs vor Sicherheitslücken in der Multimedia-Schnittstelle Stagefright von Android-Geräten. Angreifer können Geräte unter anderem über eine MMS-Nachricht oder ein manipuliertes Video auf einer Webseite attackieren und in eine Wanze verwandeln.

Mit der kostenlosen Stagefright Detector App können Nutzer prüfen, ob ihr Gerät für die Stagefright-Lücken anfällig ist. (des)

Aaaaaaand we're save

Mit cMIUI 5.9.1 und der aktuellen Stagefright Detector App:

 

[balu_baer]

Re: AW: Stagefright Sicherheitslücke in Android

Es nimmt kein Ende [emoji24]

Zimperium zLabs is Raising the Volume: New Vulnerability Processing MP3/MP4 Media. By zLabs Thursday, Oct 1 2015 at 04:00

Link: https://blog.zimperium.com/zimperiu...me-new-vulnerability-processing-mp3mp4-media/