Lücke ermöglicht Attacken
Die Lücke besteht im Media Framework von Android. Ausgenutzt werden kann sie u.a. durch Malware-Videos. Speziell modifizierte Videodateien können, einmal vom Nutzer abgespielt, Schadsoftware in das Gerät einschleusen, wie futurezone.at unter Berufung auf TheNextWeb berichtete.
Aufruf-Hürde
Eine Demonstration, wie das funktionieren könnte, hat Kozlowski auf Github veröffentlicht. Eine Hürde, die Angreifer überwinden müssten, ist der direkte Aufruf einer manipulierten Videodatei. Wird ein präpariertes Video über einen Dienst verschickt, der die Videodatei verändert - etwa komprimiert - wird es unwirksam. Videos anzusehen, die einem via YouTube, WhatsApp oder Messenger geschickt werden, ist also ungefährlich.
Patch steht bereit
Die aufgezeigte Schwachstelle ist aber überhaupt theoretischer Natur. In der Praxis wurde die Lücke angeblich noch nicht ausgenutzt. Google hat auch bereits ein Sicherheits-Update bereitgestellt. Der Patch schließt die Lücke. Um ihn zu erhalten, sollte man sicherstellen, dass das eigene Gerät bei Sicherheitsupdates auf dem neuesten Stand ist.
Weiterführende Links:
20 Tipps für mobile Sicherheit
thenextweb.com: Android vulnerability lets hackers hijack your phone with malicious videos
futurezone.at: Android-Sicherheitslücke erlaubt Angriffe mit Malware-Videos