Stagefright-Lücke bleibt bedrohlich Google und Samsung planen Updates

06.08.2015 17:44
Stagefright-Lücke bleibt bedrohlich
Google und Samsung planen Updates


Die Stagefright-Lücke bleibt für viele eine Bedrohung.

Die Stagefright-Sicherheitslücke schreckt Android-Nutzer weltweit, doch der Fall hat einen positiven Nebeneffekt: Google und Samsung versprechen regelmäßige Sicherheitsupdates. Die Plattform wird dadurch sicherer, doch nur bestimmte Geräte profitieren.

Sie wurde als "Mutter aller Sicherheitslücken" bezeichnet, die rund 90 Prozent aller Android-Smartphones bedroht. Weltweit versetzte die Nachricht der Stagefright-Schwachstelle zahllose Android-Nutzer in Schrecken. Jetzt reagieren die ersten Hersteller, zudem zeigt sich: Dieser und ähnliche Fälle haben auch einen positiven Nebeneffekt, Android wird sicherer - zumindest für manche. Samsung verspricht zukünftig monatliche Sicherheits-Updates für seine Geräte, Google kündigt ein neues Update-Programm mit monatlichen Aktualisierungen für die Nexus-Reihe an.

Am Mittwoch, den 5. August, hat der Konzern damit begonnen, die Nexus-Modelle 4, 5, 6, 7, 9, 10 und den Nexus Player mit einem Sicherheitsupdate zu versorgen, das unter anderem die Stagefright-Lücke schließt, über die Angreifer beispielsweise mit manipulierten MMS-Nachrichten ein Smartphone aus der Ferne ausspionieren und kontrollieren können. Ab sofort, so heißt es in einem Blogeintrag, werde Google einmal im Monat alle Nexus-Geräte mit Aktualisierungen versorgen, um eventuelle Sicherheitslecks zu schließen. Über das Android Open Source Project (AOSP) würden die Patches zeitgleich öffentlich zugänglich gemacht.

Damit sind Nexus-Nutzer aus dem Schneider. Problematisch sind aber die zahllosen anderen Android-Smartphones mit einer vom Hersteller oder Provider angepassten Benutzeroberfläche, von denen es zurzeit rund 24.000 geben soll, wie das Projekt Open Signal herausgefunden hat. Updates bekommen diese Geräte oft spät oder gar nicht, denn auch wenn Google Patches für bekannte Sicherheitslücken bereit stellt, müssen diese erst noch von den Herstellern und Providern an deren eigene modifizierte Android-Oberfläche angepasst werden. Das ist aufwändig und lohnt sich höchstens für die aktuellen Flaggschiffe.

Als erster Hersteller reagiert jetzt aber Samsung, der weltweit größte Anbieter von Android-Smartphones - laut Open Signal stammen 37,8 Prozent der erfassten Geräte von den Koreanern. Ähnlich wie Google will man monatliche Updates für seine Smartphones verteilen. Welche Geräte davon profitieren können und wie schnell die Koreaner mit den regelmäßigen Aktualisierungen beginnen wollen, sagte Samsung nicht. Man befinde sich derzeit mit Anbietern weltweit im Gespräch und werde bald weitere Details nennen. Gegenüber "PC World" sagte LG, dass es ebenfalls monatliche Updates bereitstellen werde, die die Mobilfunkanbieter dann an ihre Nutzer weitergeben könnten. HTC hat laut "Forbes" erklärt, dass es seit Anfang Juli an Patches arbeite, ohne aber deutlich zu machen, ob Nutzer diese bereits herunterladen könnten. Eine Antwort von Motorola, Sony und Lenovo steht noch aus.

Wer selbst überprüfen möchte, ob sein Smartphone angreifbar ist oder bereits einen Patch bekommen hat, kann die kostenlose App "Stagefright Detector App" von Zimperium im Play Store herunterladen. Auch von Lookout gibt es eine App, "Stagefright Detector" wird ebenfalls kostenlos im Play Store angeboten.

Quelle N-TV App

CarHDRom V.6 S6e

Im Play Store gibt es Apps die Verwundbarkeit eines Smartphones prüfen. Ich habe mal zwei getestet, "Stagefright Detector" von Lookout Mobile Security zeigt bei mir, mit der OGM an das mein System nicht verwundbar ist, "Stagefright Detector App" von Zimperium INC zeigt mir an das mein System teilweise verwundbar ist. Was wird jetzt stimmen.:confused:

Anhang 173357Anhang 173358

EDIT: Hab nochmal etwas regergiert, es wurden bis zu elf verschiedene Möglichkeiten ermittelt womit die Geräte über Stagefright gehackt werden können. Da beispielsweise Samsung in Zusammenarbeit mit Google in den letzten FW nur einige Lücken mit einem Patch schließen konnte, wird mit der App von Zimperium angezeigt welche Lücken geschlossen wurden und welche nicht. Die Entwickler der App von Zimperium INC waren auch diejenigen, die Google und die Hersteller auf die Lücken hinwiesen.

http://www.golem.de/news/stagefright...08-115610.html

Ich habe bei mir das selbe Ergebnis mit der Zimperium-App ... - ist ja auch kein Wunder (selbes Gerät ;-) ).

Mit welcher Firmware denn?

Stock OGB (XEU)

Mit OGM leider das selbe.
Anhang 173379

CarHDRom V.7 S6e

Also bei meinen Geräten, ist alles okay.
Z1
Z Ultra
Moto X2
Moto RAZR i
Fast überall läuft CM 12.1,außer beim RAZR i, da läuft Stock Motorola Rom drauf, weil es dafür groß nix gibt.


PS beim Desire 816, sind 3 Lücken gefixt, und drei sind noch offen.

Samsung hat ein App veröffentlicht was es Benutzern erlaubt die MMS Funktion zu deaktivieren. Das Samsung Kontroll App kann hier geladen werden.
Download

QUELLE

CarHDRom V.7 S6e Deutscher Support Thread

14.08.2015 16:20
Android-Geräte bleiben angreifbar
Google vergeigt Stagefright-Patch


Stagefright ist besonders für Geräte mit älteren Android-Versionen gefährlich.

Ein von Google ausgeliefertes Update, das in Android die sehr gefährliche Stagefright-Lücke schließen soll, ist fehlerhaft. Auch Nexus-Modelle bleiben angreifbar, vor September ist kein neuer Patch zu erwarten. Nutzer anderer Geräte müssen sich noch viel länger gedulden.

Stagefright bleibt wohl noch lange die größte Bedrohung für Android-Geräte. Auch Nutzer von Nexus-Modellen können sich trotz mehrerer von Google ausgelieferter Patches nicht sicher fühlen. Das Sicherheitsunternehmen Exodus Intelligence hat festgestellt, dass eins der Updates fehlerhaft ist und die Systeme daher immer noch angreifbar sind. Spezialisten des Unternehmens gelang es mittels einer präparierten mp4-Datei, ein Nexus 5 zum Absturz zu bringen.

Google wurde am 7. August unterrichtet und hat die Existenz des Problems auch bestätigt. Trotzdem verbreite es weiter den fehlerhaften Patch und habe auch nicht mitgeteilt, wann mit einem fehlerfreien Update zu rechnen sei, heißt es im Blogeintrag der Sicherheitsexperten. Möglicherweise weil sie dem Unternehmen nicht mal eine Woche Zeit ließen, auf das Problem zu reagieren. Normal sind bei gefundenen, aber noch nicht bekannten Sicherheitslücken bis zu drei Monate. Exodus Intelligence rechtfertigt sein Vorgehen mit einer besonderen Dringlichkeit. Stagefright habe so viel Aufmerksamkeit erhalten, dass vielleicht auch andere Hacker mit bösen Absichten bereits auf den fehlerhaften Patch aufmerksam geworden seien.

Nexus-Updates im September

"The Verge" erhielt allerdings eine Antwort auf eine entsprechende Anfrage. Man habe das Update bereits an andere Hersteller ausgeliefert, Nexus-Nutzer erhielten den Patch zusammen mit dem monatlichen Security-Update im September, teilte Google mit.

Wann auch andere Geräte gegen die Stagefright-Lücke abgesichert werden, ist noch offen. Manche Nutzer werden noch Wochen oder Monate auf ein Update warten müssen, viele Geräte werden wohl nie gepatcht. Immerhin möchten neben Google als Reaktion auf Stagefright jetzt auch Samsung und LG monatliche Sicherheitsupdates veröffentlichen. Sony hat ebenfalls reagiert. Updates gegen die Schwachstelle würden in den kommenden Wochen verteilt, teilte das japanische Unternehmen "Xperia Blog" mit.

Exodus Intelligence berichtet auch, die Stagefright Detector App des Schwachstellen-Entdeckers Zimperium zeige auf aktualisierten Nexus-Geräten immer noch an, keine Probleme entdeckt zu haben. Man arbeite mit dem Entwickler an einer Verbesserung der Anwendung, so der Blogeintrag. Die App ist allerdings mit Vorsicht zu genießen. Nutzer berichten, nach einem Suchlauf die Aufforderung erhalten zu haben, Kontakt zum Anbieter aufzunehmen. Auch n-tv.de ist so ein Fall bekannt. Alternativen wie Lookout Stagefright Detector werden allerdings ebenfalls von dem fehlerhaften Patch getäuscht.

Auch ohne App Gewissheit

Nötig sind solche Apps in der jetzigen Situation sowieso nicht. Derzeit sind alle Geräte ab Android 2.3 betroffen, da seit dieser Version das Stagefright-Framework standardmäßig zur Verarbeitung von Multimedia-Dateien verwendet wird. Zimperiums Sicherheitsforscher Joshua J. Drake schätzt, das 95 Prozent aller Android-Smartphones und -Tablets betroffen sind - ungefähr 950 Millionen Geräte. Je älter die Android-Version ist, desto größer ist die Gefährdung.

Quelle N-TV App

CarHDRom V.7 S6e Deutscher Support Thread

Was heisst fehlerhaft, schlägt der Detektor weiterhin an?

Jep bei mir ist das erste und fünfte Rot, also angreifbar...der Rest ist grün....

Sowie ich das verstanden habe auf der Seite ist es so das der Patch fehlerhaft ist, das App anzeigte ie Lücke ist geschlossen obwohl sie nicht geschlossen ist. Und die sich mit den Zimperion Machern oder wie der detector heisst in Verbindung setzen.

CarHDRom V.7 S6e Deutscher Support Thread

Ps: Mit dem App einfach Mms Empfang blockieren Problem gelöst.

MMS Empfang blockieren ist für mich keine Lösung...sorry ;) ich benutze noch ab und an MMS. :mad:

Nächstes mal Mobile Daten deaktivieren und so Problem lösen...:D

Da erwartet man doch von Google und Samsung nach Patch das sowas ohne weiteres läuft und behoben wird. Schliesslich hat das Teil nicht wenig gekostet...:(

Bei mir auf dem Z2 ist alles grün, da scheint Sony aber richtig gepatcht zu haben. @Bosanac, möglicherweise hat Samsung einige Files vergessen, denn bei uns sind es 5 die den Patch brauchen aber insgesamt sind es 35 Dateien die dem unterstellt sind.

Nach Appupdate
Anhang 173532

In den aktuellen G920FXXU2POH8 und G925FXXU2POH8 Firmwares für das Galaxy S6 / S6 Edge ist die Lücke wohl jetzt geschlossen.:top:

http://www.pocketpc.ch/attachments/s...4-10-29-59.png

Auch interessant.
http://www.zdnet.de/88246806/android...fright-luecke/

Google, macht denn Selbstversuch.
http://www.golem.de/news/stagefright...09-116384.html

Nachdem Sony nun die Lücken gefüllt hat kommt heraus, dass Zimperium neue Lücken entdeckt hat. Also nochmal alles von vorne mit Stagefright 2.0.

Ja leider traurig aber die Wahrheit.
Die OEM"s werden eh mit denn Patches kaum nachkommen.
Hier auch noch mal zum nachlesen.
http://m.spiegel.de/netzwelt/gadgets...www.google.de/

Und es wird noch besser.
https://blog.wdr.de/digitalistan/fas...ys-gefaehrdet/

Und die nächste Stufe von einem Erpresser Trojaner.
http://www.t-online.de/computer/sich...im-umlauf.html

Es wäre endlich an der Zeit, dass tiefgreifende Modifikationen der Hersteller unterbunden werden damit Google selbst auf direktem Wege Updates einspielen kann.
Den Launcher und ihre nutzlosen Bloatware-Apps können sie ja dennoch einbauen, aber das Grundgerüst muss OTA patchbar sein. Klappt ja beim Desktop-Windows auch -jeder Hersteller passt das System irgendwie an, aber MS kann Sicherheitsupdates einspielen.

Da bin ich ganz deiner Meinung, da muss einfach was passieren.
Man kann ja nicht von jedem verlangen, das es sich durch ein Custom Rom etwas Schutz holt, und so das System aktuell hält.
Grade MS hat wieder gezeigt, das sie die Kontrolle bei Updates berhalten wollen , so müsste es auch Google tun.

Da stimme ich Euch beiden voll zu. Wenn man mal sieht was Samsung beispielsweise seit Jahren an den Android Version verschlimmbessert.
Würde es so laufen wie skycamefalling schreibt, hätten ja auch eigentlich alle Beteiligten was davon.

Aber ich glaube diese Diskussion gehört hier eigentlich nicht rein.:versteck:;)

Ich finde schon das alle eure drei Aussagen hier rein gehören. Ist ja kein Spam sondern nur eine Meinungsäußerung bezüglich des Themas. Und damit tragt ihr ja dazu bei. Also meine Meinung.

Ich sehe das so wie ihr. Sowas wie ein zentrales Repository. Jeder kann modden, aber alles was Sicherheit betrifft wird direkt von Google an alle geliefert. Optik und Erweiterungen vom Handyhersteller System Core von Google. Wären alle Systemsicherheits Files einheitlich würde eine Quelle gehen. Wobei wir dann ja wieder Richtung Apple gehen mit closed System???
Aber dafür haben wir ja alle zumindest die meisten Custom Roms laufen.

Die Updates von Google waren schon immer zugänglich, siehe Google Sources. Die Hersteller sind nur zu langsam, diese zu integrieren. Inzwiwchen gabs von 5.1.1 über 24 Releases, also 5.1.1r1 -5.1.1r24 uws. Während stock firmwares auf samsung oder so mit 5.1.1.r3 oder so ausgerollt wurden. Dieser release bleibt dann aus Systemgründen und wird nur gepatcht. Den gepatchten Teil muss dann nochmal verarbeitet und integriert werden, das ist nicht die schnellste Arbeit der Coder.

mMn wäre am besten Apps rein und das passende Design für den Theme Manager.