Stagefright Vulnerability

Die gehypte "Android-Superlücke" Stagefright wird von Joshua Drake auf der BlackHat 2015 in Las Vegas vorgestellt. Es scheint ein Totalschaden zu sein, das mehrere Bugs ausnutzt um sich kompletten Zugang zum Smartphone zu verschaffen. Das knifflige ist, dass eine manipulierte MMS oder Hangouts Meldung ausreicht. Benutzerinteraktion ist nicht erforderlich.

Das sind die Infos die wir zur Zeit haben.

Ich denke auch, dass bis die Updates für alle zur Verfügung stehen, Cyangenmod der einzig wirksame Schutz gegen die Lücke ist. Die haben sie nämlich schon gefixt. Die Workarounds helfen zwar die MMS-Lücke zu schließen, ob dadurch aber auch Hangouts-Meldungen gefixt werden, kann ich zur Zeit nicht beurteilen. Betrachtet das ganze als eine Best-Efford Maßnahme und nicht als einen Ersatz für ein sauberes Update!

Workaround

Es gibt zur Zeit zwei Wege, um die Angriffsfläche zu reduzieren

  • Automatischen MMS-Download deaktivieren
    Achtung: Bis der Bug full disclosed wurde, kann ich jedoch nicht sagen, ob dadurch das Problem wirklich behoben wird. Es reduziert die Wahrscheinlichkeit ja, ist aber kein sicherer fix!

Öffnen Sie die Hangouts App auf Ihrem Android-Telefon.
Tippen Sie auf Menü: Hangouts Android menu icon
Tippen Sie auf Einstellungen.
Tippen Sie auf SMS.

We don't do any pre-processing that involves stagefright. There are no technical details at all available about this vulnerability (for maximum hype), but you'd have to physically tap on the media and then click through a warning about playing media insecurely before stagefright got involved.

Das heißt, ein sauber installiertes TextSecure und ein deaktiviertes Hangouts sollten die Verwundbarkeit für Stagefright deutlich senken. Ob die Lücke durch Hangouts-Meldungen weiterhin ausgenutzt werden kann, kann ich zur Zeit nicht beurteilen.

  • Cyanogenmod
    Stagefright benutzt eine Reihe von bereits gemeldeten Bugs, die in den aktuellen Nightlies von Cyanogenmod (hoffentlich) bereits gefixed sind. DAS ist die einzig wirklich wirksame Maßnahme gegen Stagefright!

Leute, installiert euch TextSecure! Die App verschlüsselt euren gesamte Nachrichtenverkehr transparent (das heißt ihr merkt davon nichts), ist sehr einfach zu bedienen und für Android und iOS verfügbar (nennt sich dort Signal).

Und es behebt möglicherweise die Stagefright Sicherheitslücke, die in den kommenden Wochen noch genug gehyped werden wird. ... Zumal die DEFCON Hacking Conference in Las Vegas ansteht und das ein Publikumsmagnet sein wird ...

Auf die Gnade der Hersteller angewiesen

Die Lücke ist ein Totalschaden, der hoffentlich bald gefixed wird. Google hat fürs Nexus 6 bereits Fix erstellt, die hoffentlich auch bald zur Verfügung stehen werden. Stagefright benutzt eine Reihe von bereits gemeldeten Sicherheitslücken:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

(Quelle: Google+ Post von Cyanogenmod)

Google ist bei seinen Nexus Geräten recht zuverlässig was Patchen von Sicherheitslücken anbelangt. Besitzer von anderen Herstellern sind auf deren Gnade angewiesen und werden sehr häufig einfach im Stich gelassen. Smartphones, die keine Updates mehr bekommen, sollten sich schleunigst nach einer Custom ROM wie Cyanogenmod oder OmniRom für ihre Geräte umschauen. Mit denen ist man ohnehin wesentlich besser dran, sofern man auf die Garantie des Herstellers verzichten kann (kann man in der Regel nach 1 Jahr ohnehin). Man muss ehrlich sagen, dass die Updatesituation bei Android-Smartphones teilweise schon sehr prekär ist 🙁

Links

Update - 06. August

[via heise] Google liefert anscheinend ab heute die ersten Patches für Stagefright aus und führt den monatlichen Patchday ein. Künftig will Google einmal im Monat ihre Geräte mit Sicherheitsupdates und Patches versorgen.

Pluto!

Meine Damen und Herren,

darf ich vorstellen? Pluto!

Pluto!
Pluto! (Von http://apod.it/150715)

Pluto!

Kleiner, schüchterner Pluto
Kleiner, schüchterner Pluto

Pluto ist ein etwas schüchterner (weil kleiner) Zwergplanet ganz am Rande unseres Sonnensystems. Er hält sich nicht gerne in Gesellschaft auf, hat aber seine treuen fünf Monde, die ihn immer zur Seite stehen. Heute morgen hat sich Pluto erstmals ins Lichte der Öffentlichkeit gestellt, als eine kleine unscheinbare Raumsonde an ihm vorbeigeflogen ist. In diesem kurzen Moment der Zusammenkunft konnte Pluto seine Schüchternheit erstmals überwinden und präsentiert sich nun der Öffentlichkeit. Und das zurecht! Mit seiner etwas kugeligen Form mag er auf den ersten Blickt zwar wie ein ganz normaler (Zwerg)planet erscheinen, die Krater an der südlichen Hemisphäre verleihen ihm jedoch einen gewissen Charme und sind unverkennbar.
Ob er nun ins Zentrum des Sonnensystems treten wird oder sich weiterhin am Rande bewegen wird ist noch unklar und wird sich erst in den kommenden Tagen zeigen.

Leichtes Unterfangen war es wahrlich nicht, Pluto aus seiner Reserve zu locken. Wer schon einmal ein Foto aus einem fahrenden Auto gemacht hat, weiß wie verwackelt das werden kann. Und das ganze aus einer Raumsonde, aus dem Jahre 2006 gestartet ist (damals gab es noch nicht einmal ein iPhone) und nach 10 Jahren mit Zwischenstopp bei Onkel Jupiter mit stolzen 14 km/s an unserem Mauerblümchen vorbei-saust ist wahrlich eine Meisterleistung. Wer weiß? Vielleicht hat Pluto ja die lange Reise und die Strapazen ein bisschen imponiert und ist deshalb aus seinem Versteck gekommen.

yun_973
Fotos eines fahrenden Autos bei 14 km/s. Quelle: http://www.yunphoto.net/de/photobase/hr/hr973.html

Fact am Ende: Die Bilder werden mit einer Übertragungsrate von etwa 1 kB/s übertragen. Bei so einer Übetragungsrate wäre ich auch sauer und würde mich verziehen und ganz klein werden ...

Photo: NewHorizons, NASA
http://apod.nasa.gov/apod/ap150715.html

 

(Der Post entspricht NICHT unbedingt zu 100% der physikalischen Realität! Manchmal schwafle ich einfach nur Unsinn 😉 )

Kurzeintrag: Imagemagick und Collagen

Kurzeintrag: Mit dem Imagemagick-Programm montage kann man sehr einfach Collagen erstellen.

Um beispielsweise aus den viert Dateien Plot1.png - Plot4.png eine Collage mit den Namen Collage.png zu erstellen genügt der folgende Befehl:

Um die Dateien auf eine Größe von 320x320 zu bringen, und eine 2x2 Collage zu erstellen

Fertig! Gefunden im Montage User Manual