Werbung
Nachdem die ersten Hersteller mit Updates auf die Sicherheitslücke Stagefright reagiert haben, haben Spezialisten das nächste Problem entdeckt. Dieses wurde kurzerhand auf den Namen Stagefright 2.0 getauft – denn der Angriff auf betroffene Geräte kann auf eine ähnliche Art und Weise erfolgen. Die zwei wichtigsten Unterschiede: Bislang ist kein Gerät geschützt, betroffen sind laut Zimperium zLabs beinahe sämtliche Geräte, auf denen Android zum Einsatz kommt.
Allerdings sind Versionen ab Android 5.0 weniger anfällig. Denn hier müssen gleich zwei Bibliotheken von eventuellen Schädlingen, libutils und libstagefright, angesprochen werden; letztere ist der Namengeber für Stagefright. Kommt hingegen eine ältere Android-Version zum Einsatz, reicht schon das Ansprechen von einer der beiden Lücken. Als Träger muss auch bei Stagefright 2.0 eine manipulierte Mediendatei des Typs MP3 oder MP4 genutzt werden, innerhalb derer Meta-Daten der Schadcode versteckt ist. Zimperium zLabs zufolge dürfte es vor allem drei Angriffswege geben: Per URL, hinter der sich eine entsprechende Datei versteckt, über eine Man-in-the-Middle-Attacke innerhalb eines Netzwerks sowie über Applikationen, die eine der beiden Bibliotheken nutzen.
Entdeckt wurde die neue Sicherheitslücke bereits vor einigen Wochen, Mitte August wurden Googles Entwickler darüber in Kenntnis gesetzt. Aber erst in der kommenden Woche sollen Nexus-Smartphones und -Tablets ein entsprechendes Update erhalten. Wann andere Hersteller nachziehen, ist hingegen noch offen. Einige hatten sich nach Stagefright 1.0 dazu entschlossen, mit regelmäßigen Patchdays auf derartige Lücken reagieren zu wollen.