Bild: Zimperium

Zimperium liefert Code zum Testen - Allerdings noch einige Beschränkungen

Zimperium, also jenes Unternehmen, dass die Stagefright-Bugs ursprünglich entdeckt hat, hat nun einen funktionstüchtigen Exploit veröffentlicht. Dritte können diesen also nun in eigene Tools einbauen, um damit Angriffe gegen Android-Geräte zu starten.

Der Proof-of-Concept-Code steht in Form eines Python-Skripts zur Verfügung. Konkret richtet sich der Angriff gegen die in CVE-2015-1538 beschriebene Lücke, die sich durch manipulierte MP4-Dateien ausnutzen lässt. Ist der Exploit erfolgreich, kann ein Angreifer unter anderem auf Kamera und Mikrofon des Gerätes zugreifen.

Auf Geräten ab Android 5.0 funktioniert der Angriff prinzipiell nicht, da hier zusätzliche Schutzmaßnahmen gegen solche Integer-Overflow-Attacken eingeführt wurden. Erfolgreich getestet wurde der Exploit lediglich auf einem einzelnen Nexus-Gerät mit Android 4.0.4. Und auch hier sei ein Angriff nur wirklich zuverlässig erfolgreich, wenn man mehrere Versuche habe, betont Zimperium - was etwa Remote-Attacken über MMS weitgehend ausschließt.