Stagefright Lücke: Angriff über MMS, monatliche Patch-Days, Testtool downloadbar

Seit einigen Tagen ist die Stagefright-Lücke in Android bekannt. Es lassen sich so gut wie alle Android-Versionen bis zur neusten Version 1.5 angreifen. Es handelt sich um eine Lücke im Android-Multimedia-System, welches für die verschiedensten Aktionen genutzt wird.
Die Smartphones sind dabei nicht nur beispielsweise über heruntergeladene Videos oder Bilder, sondern auch über MMS, über per NFRC ausgetauschte Visitenkarten, Bluetooth und andere angeblich auch andere Nachrichtendienste wie WhatsApp oder Facebook.
Vom Entdecker wurde sie "die Mutter aller Android-Schwachstellen" genannt. Exploits dafür sind schon entwickelt wurden.
Das Problem an dem Exploit ist, dass der Mediaserver, der den Stagefright-Code enthält, auf verschiedenen Geräten mit verschiedenen Rechten läuft. Bei etwa der Hälfte der vom Entdecker getesteten Geräte soll er dabei mit System-Rechten laufen. Dies führt dazu, dass ein Exploit so gut wie alles am System ändern kann - vom Installieren von Apps bis hin zum Ändern der Rechte einzelner Apps.
Gepacht ist die Schwachstelle derzeit nur in CynagonMod Version 11 und 12. Für andere Geräte wird an Patches gearbeitet und Google hat eine Liste mit versprochenen Updates für verschieden Smartphone-Modelle veröffentlicht.
Samsung, Google und LG wollen sogar einen monatlichen Patchday einführen, an dem Sicherheitsupdates ausgeliefert werden. Zum Testen ob das eigene Android-Gerät attackierbar ist, findet man bei Google Play außerdem ein Test-Tool.
Zumindest einen Angriffsvektor kann man etwas verhindern: Der automatische Download von MMS lässt sich in den meisten Apps, auch Google Hangout, verhindern. Telekom hielt dies offensichtlich auch für eine gute Idee und schaltete die MMS-Auslieferung um, sodass der Empfänger jetzt eine SMS mit einem Link bekommt.

Der Patch von Google behebt das Problem wohl übrigens doch noch nicht: Stagefright-Lücken in Android: Googles Patch ist fehlerhaft | heise Security

Auch ESET hat übrigens jetzt eine App zur Erkennung der Stagefright-Schwachstellen veröffentlicht: ESET Stagefright Detector - Android Apps on Google Play
Der Artikel dazu ist folgender: Schwachstelle Stagefright: Bin ich als Android-Nutzer immer noch betroffen?

Edit: Artikel-Link zu deutschem Artikel geändert.

Für das S3 wurden Updates versprochen - zumindest von Google: Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer im Unklaren | heise online
Und MMS ist natürlich nur ein Angriffsvektor - dennoch ist es ratsam den automatischen Empfang erst einmal zu deaktivieren.

In der gleichen Bibliothek gibt es übrigens eine weitere Sicherheitslücke: Android Mediaserver: Neue Lücke betrifft Millionen Smartphones | heise Security

Es geht also weiter...

Es gibt jetzt auch noch weitere Stagefright-Lücken...

Zitat

Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

Zitat

Patches für die beiden neuen Lücken seien auf dem Weg. Google will Zimperium zufolge seine Geräte der Nexus-Serie nächste Woche im Zuge des Patchdays abdichten. [...]
Zimperium will seine Stagefright Detector App zur Überprüfung der Anfälligkeit von Geräten aktualisieren, wenn ein Patch verfügbar ist. Die Sicherheitsforscher wollen keinen Exploit für die neuen Schwachstellen veröffentlichen.

Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

Patches für Stagefright 2.0 sind für CyanogenMod und Nexus-Geräte übrigens jetzt verfügbar.
Ebenfalls hat Zimperium die App zur Erkennnung aktualisiert, welche jetzt auch die Stagefright 2.0-Lücken erkennt.