Schöner Mist: Mediendateien können euer Android-Gerät verseuchen

(Foto: Übergizmo)

Die sieben kritischen Sicherheitslücken im Medienserver von Android wurden durch ein Update von Google geschlossen. Bisher konnten Angreifer durch absichtlich defekte Mediendateien Kontrolle über das System erlangen und sogar Code ausführen.

Samsung Galaxy S7 & S7 Edge: Die 30 besten Tipps und Tricks

Bild 1 von 31

Samsung Galaxy S7 & S7 Edge: Die 30 besten Tipps und Tricks
Wir haben für euch unsere besten 30 Tipps und Tricks rundum das Galaxy S7 und Galaxy S7 Edge in einer Galerie zusammengestellt. In den folgenden 30 Bildern erfahrt ihr beispielsweise, wie ihr die App-Shortcuts auf dem Sperrbildschirm ändert oder ein unabsichtliches Einschalten des Bildschirms in der Hosentasche verhindert.

Es ist ziemlich perfide, aber es klappte: Mit manipulierten Mediendateien, denen man das Problem natürlich erst nach dem Abspielen ansehen konnte, wurde die Kontrolle über Android-Geräte erlangt. So wird ein Speicherfehler ausgelöst, der es dann erlaubt, Schadcode nachzuladen und auszuführen. Und wie kamen die schadhaften Dateien überhaupt erst einmal aufs Android-Gerät? Ganz simpel per MMS oder über Websites.

Nun gibt es ein Heilmittel für Android 4.4.4 KitKat, Android 5.x Lollipop und Android 6.x Marshmallow. Vier Anfälligkeiten im Mediaserver betreffen indes nur die jüngste Android-Version. Google weist darauf hin, dass der Mediaserver über Rechte verfügt, die Apps von Drittanbietern normalerweise nicht erhalten.

Insgesamt bringt Googles April-Patchday Fixes für 39 Anfälligkeiten. Sie stecken unter anderem in den Komponenten DHCP, Media Codec, Kernel, IMemory Nativ Interface, Download Manager, Recovery Procedure, Bluetooth, System-Server, Exchange ActiveSync, Setup Wizard und WLAN. Einige Fehler betreffen indes nur Geräte mit bestimmter Hardware von Qualcomm oder Texas Instruments. Die Mail-Anwendung des Android Open Source Project gibt zudem unter Umständen persönliche Informationen preis.

Gefunden wurden die Schwachstellen unter anderem von Mitarbeitern des Google Chrome Security Team, des Google Project Zero und des Google Telecom Team. Viele Fehler wurden aber auch durch externe Sicherheitsforscher aufgedeckt, unter anderem von Firmen wie Alibaba, Trend Micro, Qualcomm, MWR Labs, Qihoo 360, Census und Vertu.

Aktuelle Factory Images für die Nexus-Geräte verteilt Google ab sofort über seine Entwickler-Site. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 2. Arpil 2016 angezeigt werden.

Lies auch: 5 Dinge, die ich am Samsung Galaxy S7 / Edge liebe! [Video]

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Der ZDNet-Artikel „Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Derzeit steht zumindest laut Samsung-Website sogar noch das März-Sicherheitsupdate aus.

Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

Tipp: Bist Du ein Android-Kenner? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:ZDNet.comVia:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising