Android-Systeme mal wieder Stagefright - Lücken ohne Ende in Android

Die Einführung der Rubrik "Android-Systeme" war eine gute Idee. Leider ist es auch bei diesem OS so, daß immer wieder Sicherheitslücken mit schlimmen Auswirkungen gefunden werden. Stagefright gehört in der Spitzengruppe der Schadsoftware für Android und trotz Nachbesserungen ist das Risiko durch diese Sicherheitslücke nach wie vor aktuell.

Ich finde bei den Smartphones mit Android wirklich abschreckend, daß man sich darauf verlassen kann, daß die Hersteller der Telefone Sicherheitsupdates auch zeitnah weitergeben. Zum Teil ist es so, daß Updates für ältere Versionen von Android von den Herstellern überhaupt nicht an die User weitergegeben werden.

det

Nachdem uns det zu Heise verlinkt hat, wollen wir aus dieser Information auch eigene Konsequenzen ziehen!

Der User geht in den > Playstore
Gesucht wird die App > Stagefright Detector > Installieren> Öffnen

Stagefright Detector


Sicherheitslücke vorhanden. (Kein Schadprogramm!)


Solche Lücken, so nach Heise, könnten in den
Android Versionen 2.0 bis 4.0 auftreten.
Als Konsequenz daraus sollten in den Browsern
das Javascript deaktiviert werden

Keine Sicherheitslücke erkannt


Android- Version 5.1

Jeder Nutzer sollte den kurzen Test machen.

Peter

Solche Lücken, so nach Heise, könnten in den
Android Versionen 2.0 bis 4.0 auftreten.

Das stimmt leider nicht mehr. Die Versionen 5.0 und 5.1 von Android sind auch betroffen. Lediglich 4.4, 5.1.1 und 6.x scheinen sicher zu sein.

Meiner Ansicht nach gibt es daraus nur eine Konsequenz: einigermaßen risikofrei ist nur die "Nexus"-Serie unter den Android-Telefonen. Nur bei denen kann man sicher sein, daß die Sicherheitsupdates auch wirklich beim Kunden ankommen. Oder aber man findet einen kompetenten Nachbarn, der CyanogenMod auf dem Smartphone installiert.

Hätte ich noch Windows als Betriebssystem, dann hätte ich mir schon längst ein Windows-Phone zugelegt. Die Unterklasse dieser Geräte ist zwar Schrott, doch die Mittel- und Oberklasse habe durchweg akzeptable bis gute Bewertungen.

det, sein iPhone streichelnd

Quelle:
Auszugsweise von: Heise.de / newsticker, 19.03.2016

Seit dem 16. März verteilt Google den Patch an seine Gerätepartner, spezielle Updates für Nexus-Geräte seien in Arbeit und sollen in den kommenden Tagen erscheinen.

Betroffen sind nicht nur ältere Geräte, auf denen Android 2.0 bis 4.0 laufen, sondern auch die neueren Versionen 5.0 und 5.1. Letztere sollten laut Google besser vor Angriffen geschützt sein, weil sie ASLR (Address Space Layout Randomization, also Speicherverwürfelung) nutzen, um diese Art von Angriff zu erschweren.

..das relativiert doch!

Das stimmt leider nicht mehr. Die Versionen 5.0 und 5.1 von Android sind auch betroffen. Lediglich 4.4, 5.1.1 und 6.x scheinen sicher zu sein.

Mag alles sein, aber wieso stimmt das bei mir leider nicht mehr??
Ich halte mich an meiner Detektion, der Screenshot ist kein Fake!

Mein Android 5.1, mit dem Sicherheitspatch 2016-01-01 hat keine Stagefright-Lücke. So geprüft mit der offiziellen Stagefright-App aus dem Playstore vom und am 21. 03. 2016. Fertig!

Alles andere ist mir zu theoretisch. Apropos Theorie, es sind bis jetzt unter Milliarden von Android-BS keine großflächigen Angriffe bekannt. Alle Meldungen dienen der Vorbeugung und Wachsamkeit. Wer also eine Lücke auf seinem Gerät findet, der sollte den Tipp mit dem Javascript befolgen.

Keine Panik bei "Lampenfieber", auch kein teures Nexus kaufen, denn eins gilt bei Android für alle Geräte des privaten Normalnutzers früher oder später immer:

"Nach der Funkausstellung ist schon wieder vor der Funkausstellung". Ex und hopp!

Schöne Grüße
Peter

Das stimmt leider nicht mehr. Die Versionen 5.0 und 5.1 von Android sind auch betroffen. Lediglich 4.4, 5.1.1 und 6.x scheinen sicher zu sein.

Mag alles sein, aber wieso stimmt das bei mir leider nicht mehr??
Ich halte mich an meiner Detektion, der Screenshot ist kein Fake!

Eingentlich doch ganz einfach: das Tool prüft der ersten Weg, der zum Ausnützen der Lücke führte, nun gibt es aber einen zweiten.

Die Geschichte mit den bisher ausgeblieben Angriffen erinnert mich an die Linux und OS X-Fans, die ihre Systeme für nicht angreifbar hielten. Angesichts der Verschlüsselungstrojaner machen die zur Zeit ziemlich dumme Gesichter.

Warum ich die teuren Nexus bevorzugen würde, habe ich auch begründet: es wurde oft genug berichtet, daß Hersteller von Smartphones die etwas älteren Modelle verzögert oder auch gar nicht mit Sicherheitsupdates beliefern. Bei den Billig-Smartphones geht man ein ungleich höheres Risiko ein. Bei den Nexus ist die Chance am größten, daß man mit allen Updates versorgt wird und das auch zeitnah.

Ich bin aber gern bereit, die das Feld zu überlassen. Was Sicherheit betrifft haben wir doch etwas unterschiedliche Sichtweisen.

det ... und wech

Eingentlich doch ganz einfach: das Tool prüft der ersten Weg, der zum Ausnützen der Lücke führte, nun gibt es aber einen zweiten.

Das mit dem Weg ist auch so eine Sache. Ich weiß nicht wie das bei iOS ist, aber mit Sicherheit nicht so wie bei Android. Denn die "zweiten Wege" sind für das Exploit mal leichter und mal schwerer, trotz gleicher Version! Laut – emisoft - gibt es 24.000 Modelle mit Android.

Schon fällt mir wieder der Begriff "Custom-ROM" ein. Jeder Hersteller richtet anders ein, auch mit unterschiedlichen Zugriffsrechten, gerade bei den Medienserver! Wie viele Patches braucht man? Dem Normalnutzer wird da wohl keine umfassende Analyse gelingen, flapsig gesagt, man kann getrost ein Ei darüberschlagen.

Um abzukürzen, die Frage bei Bedrohungen des Android-System lautet:
"Wie verhalte ich mich bei der Benutzung des Smartphones richtig, um Schadsoftware fernzuhalten?"

Gerade gegen Stagefright-Exploits gibt es erstaunlich einfache Regeln.

-Den -Stagefright Detector- von Zimperium, das waren ja auch die Erstentdecker.

-Die Hilfe des Providers. Ja, das gibt es, da wurde im vergangen Jahr durch die Telekom ein gutes Abrufverfahren per PIN-Code für MMS eingerichtet.

Hier mein damaliger Beitrag dazu im Forum.
Stagefright, ein aufgeweckter Thread für ein aufgewecktes Forum

-Eine hervorragende Anleitung von -emisoft- . Hier muss der Leser gar nicht alles lesen, wer das unten "Was sie tun können" verinnerlicht, weiß sofort worauf es ankommt!

http://blog.emsisoft.com/de/2015/10/05/warum-die-stagefright-sicherheitsluecke-fuer-jeden-android-nutzer-gefaehrlich-ist/

Gilt nicht für –CyanogenMod- hier –rooten- , das soll der Normalnutzer besser sein lassen, er bekommt sein Android wirklich unkomplizierter geschrotet.

Peter

Mein Motorola Smartphone hat heute ein Update bekommen und der Stagefright Detector ist nun grün geworden.

Mein Motorola Smartphone hat heute ein Update bekommen und der Stagefright Detector ist nun grün geworden.

Jetzt erst? Nachdem das Problem mit Stagefright schon so lange bekannt ist? Das bestätigt nur das, was ich über unzuverlässige Updates bei Android geschrieben habe.

det

Zumindest funktioniert mein Android auch noch nach dem Update ohne Kopfstände zu machen

Gilt nicht für –CyanogenMod- hier –rooten- , das soll der Normalnutzer besser sein lassen, er bekommt sein Android wirklich unkomplizierter geschrotet.

Schade nur, daß du nicht richtig wiedergegeben hast, was ich geschrieben habe. Ich habe etwas leger formuliert und vom "kompetenten Nachbarn" für diese Aufgabe geschrieben. Nirgendwo steht, daß Otto Normaluser das selbst tun sollte.

Ich finde noch einen anderen Gesichtspunkt zu CyanogenMod bemerkenswert: bei dem Lehrgang "Sicherheit im Internet" von openHPI wird diese alternative Version von Android ausdrücklich erwähnt und es wird hervorgehoben, daß CyanogenMod Sicherheitseinstellungen bietet, die das normale Android nicht hat. Aber vielleicht findest du das ja auch nur lustig.