Stagefright Exploit + 2.0 - Was kommt denn noch?

[Aaskereija]

Was hat das eine nun mit dem anderen zu tun?

 

[VampirKing]

Und weiter gehen die Lücken.
de.engadget.com/2015/08/07/certifi-gate-nachste-grosze-android-sicherheitslucke/

Android-Sicherheitslücke: DoS-Attacken legen Geräte lahm - datensicherheit.de

Da kommt ne Menge Arbeit auf die Hersteller zu.

 

[rudolf]

Das ist auch stagefright, also nichts neues.

 

[VampirKing]

Ach so das gehört da alles dabei.

 

[Thyrion]

Ja, die Engine ist in Cyanogen auch drin. In den aktuellen Version ist die Lücke aber geschlossen worden.

 

[HerrundMeister]

Welches is tdie aktuelle Version für S3 bzw. S3 Mini und ist die Lücke dort auch geschlossen worden?
Ist das dann ein stable build oder nightly?

 

[Depechem70]

Und weiter?
Es ist ein Android smartphone.

Bester Kommentar. Wie kommst du darauf das es ein Android Smartphone ist?

Wird mit dem aktuellen Patch die Lücke geschlossen? Konnte bei den Patchnotes nichts finden.

 

[anoraknophobia]

Ich hab heute ein Update erhalten. Vorher sagten die Tools ja nun sagen sie nein

 

[Snake3]

Bin mal auf die Patchnotes gespannt, die du gelesen Haben willst.

 

[Dodger]

Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer im Unklaren | heise online

Lt. Heise noch nix konkretes von Samsung. Diverse Seiten berichten von Updates... sehr skuril. Ich denke das es langsam auch echt mal Zeit wird, das Samsung und Co. damit offen umgehen...

 

[Wicki]

Auch mit dem aktuellsten zur Zeit verfügbaren Build, POGM, ist der Exploit nicht dicht.

 

[egerlach]

Ich habe den MMS-Server per Eintrag einer falschen IP "abgeschaltet", ebenso beim Proxy. Dann geht mit MMS doch gar nichts mehr, oder?
Ich hatte das aus einem anderen Grund gemacht: mein Galaxy S5 macht aus langen Text-Nachrichten scheinbar automatisch MMS, das hat mich letztens extra gekostet, daher habe ich einfach die beiden IP-Einträge verfälscht. Klar, jetzt bekomme ich auch keine langen SMS mehr, wenn mit jemand eine lange SMS schickt, wenn auch sein Handy eine MMS draus macht, aber der sollte eine Fehlermeldung erhalten, "nicht zustellbar" oder so, richtig? - Und wenn nicht, mir egal. Ich habe die letzten Jahre keine "lange" SMS mehr erhalten, ich hatte die letzten Wochen nur dummerweise 3 "lange" SMS versendet, jetzt weiss ich es.

Also: ist das manipulieren der MMS-IP eine Sperre gegen MMS ein- und ausgehen?

Gruss
Eckard

 

[Smartus]

Hier ein Statement von Motorola über geplante Patches (ohne release dates):

Stagefright . All Discussions (861) . DROID TURBO by Motorola . Forum . Motorola Owners' Forum

Geräte:

• Moto X Style (patched from launch)
• Moto X Play (patched from launch)
• Moto X (1st Gen, 2nd Gen)
• Moto X Pro
• Moto Maxx/Turbo
• Moto G (1st Gen, 2nd Gen, 3rd Gen)
• Moto G with 4G LTE (1st Gen, 2nd Gen)
• Moto E (1st Gen, 2nd Gen)
• Moto E with 4G LTE (2nd Gen)
• DROID Turbo
• DROID Ultra/Mini/Max

 

[don_giovanni]

Die Angst vor Stagefright wird von bösen Menschen bereits jetzt sehr perfide ausgenutzt:

Stagefright: Internetkriminelle nutzen die Angst vor dem Datenleck zum Einschleusen eines Trojaners

 

[Miss Montage]

Das war ja nur eine Frage der Zeit...

 

[Miss Montage]

Dank Jiayu.de habe ich da mal was für alle Besitzer eines MTK-Gerätes mit 6732/6752 SoC, Kitkat 4.4.4 und Custom Recovery vorbereitet.

 

[bitstopfen]

Das ist ganz schlechter Rat denn viele Anbieter in Deutschland funktionieren auch mit falschem oder fehlenden APN.

Also ich habe es gerade getestet, es funktioniert gar nicht mehr.;-)

 

[swansong]

Wer was tun möchte:

1. Den automatischen MMS Abruf in ALLEN apps abschalten die SMS empfangen.

2. Firefox nutzen und dort bei about:config stagefright.disabled auf true setzen.

3. MXplayer als Standard für Videos Nutzen.
How to use Stagefright in Android? - Stack Overflow

Danke, hab diese Einstellung erst einmal vorgenommen. Ich hoffe mal, dass Sony recht schnell ein Update auch für das Z1C bringt.

 

[balu_baer]

Angeblich hat Google bei der Patcherstellung ein wenig geschludert ... :-/

Stagefright-Lücken in Android: Googles Patch ist fehlerhaft | heise online

Zitat:

Die Geräte seiner Nexus-Serie hat Google schon gegen die Stagefright-Bugs abgesichert. Doch ein Patch wurde nicht sauber programmiert und Angreifer könnten das als Einfallstor für DoS-Angriffe ausnutzen.

Die Entwickler von Google haben bei der Erstellung eines Patches für einen Stagefright-Bug nicht aufgepasst, denn Angreifer können Android-Geräte immer noch über manipulierte Videos zum Absturz bringen. Das haben Sicherheitsforscher von Exodus Intelligence herausgefunden. Dabei attackierten sie Geräte im Zuge eines Pufferüberlaufes mit einem DoS-Angriff.
Fehlerfreier Patch im September

Google zufolge steht eine überarbeitete Version des Patches bereit. Die Auslieferung soll für die Geräte Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player am neu eingeführten Patchday im September beginnen.

Das Android Open Source Project und verschiedene Smartphone-Hersteller wollen den neuen Patch in der nächsten Update-Welle ausspielen. Wann das soweit sein wird ist unklar, denn viele Hersteller haben bisher noch gar keine der Stagefright-Lücken gestopft.

Stagefright ist eine Multimedia-Komponente des Android-Systems und rund 95 Prozent aller Android-Geräte sind über verschiedene Schwachstellen verwundbar. Dabei können Angreifer über manipulierte Videos, etwa in MMS-Nachrichten oder auf Webseiten, Schadcode auf die Handhelds schmuggeln

 

[bitstopfen]

Wenn man sieht wie Google patcht, muss man sich nicht wundern, dass die Hersteller das nicht blind übernehmen können.