© S&S Media
Android auf der Black Hat USA 2015

Stagefright und Certifi-gate bei Android


Die Sicherheitsforscher haben auf der Black Hat USA sehr viele, sehr interessante Vorträge gehalten. Ganz vorne mit dabei: Android. Mit dessen Sicherheit sieht es zurzeit also nicht so besonders gut aus, denn Lobeshymnen wurden da eher nicht gesungen.

Los ging es mit den schlechten Nachrichten dieses Jahr schon einige Zeit vor der Konferenz: die Stagefright-Schwachstellen sorgten schon über einen Monat vorher für Aufregung. Eines lässt sich aber schon vorweg sagen: Das hätte noch sehr viel schlimmer ausgehen können und ich hoffe, das „dicke Ende“ kommt nicht noch!

Die Stagefright-Schwachstelle(n) im chronologischen Überblick

Am besten betrachten wir die Entwicklung jedoch chronologisch.

27. Juli – Sieben Schwachstellen, ein Name

Am 27. Juli ging es los. Jedenfalls mit der Veröffentlichung der Schwachstellen. Entdeckt wurden sie natürlich schon früher, und entstanden sind sie noch viel früher – sehr viel früher. Aber immer der Reihe nach. Am 27. Juli gab Joshua J. Drake von den Zimperium zLabs bekannt [1], dass in der Multimediabibliothek Stagefright [2] von Android mehrere Schwachstellen entdeckt wurden, die die Ausführung beliebigen Codes erlauben. Details sollten erst am 5. August auf der Black Hat USA veröffentlicht werden; erstmal ging es nur darum, die Benutzer zu warnen und auf die Installation der langsam eintrudelnden Updates hinzuweisen.

Benannt wurden die Schwachstellen nach der Bibliothek, in der sie gefunden wurden: Es sind die „Stagefright Vulnerabilities“ oder „Stagefright-Schwachstellen“. Ein ziemlich ungünstiger Name, denn kurz nachdem die von den zLabs entdeckten Schwachstellen bekannt wurden, wurden weitere Schwachstellen in Stagefright entdeckt. Gehören die dann auch zu den „Stagefright-Schwachstellen“? Nein, natürlich nicht. Obwohl es sich ja genau genommen auch um Stagefright-Schwachstellen handelt. Eine Schwachstelle, die ernst genommen werden will, braucht seit vorigem Jahr ja nun mal einen Namen [3]. Bei dessen Wahl sollte man sich doch etwas mehr Mühe geben als einfach nur den Namen der betroffenen Komponente zu übernehmen – auch wenn der, wie in diesem Fall, vielleicht ziemlich verlockend ist [4]. Aber ernsthaft: „Lampenfieber-Schwachstellen“? Da gibt es doch bestimmt bessere Namen. Aber nachdem die Schwachstellen nun mal ihren Namen weg haben, müssen wir damit leben.

Also: Es gibt die „Stagefright-Schwachstellen“, und es gibt noch mehr Schwachstellen in Stagefright.

Am Anfang waren nur einige allgemeine Informationen bekannt [1]. Aber die waren schon reichlich beängstigend: Pufferüberläufe beim Verarbeiten verschiedener Multimediaformate erlauben die Ausführung eingeschleusten Codes. Die präparierten Mediadaten können zum Beispiel per MMS an das Gerät gesendet werden, sodass ein Angriff zum Teil ohne Benutzerinteraktion möglich ist [4], [5]. Der reine Empfang der MMS und ihre automatische Verarbeitung reichen auf manchen Geräten aus, um den Exploit aktiv werden zu lassen. Auf anderen Geräten genügt es, wenn die MMS geöffnet wird. Joshua Drake hat damit einen Exploit entwickelt, der eine Reihe von MMS-Nachrichten verschickt und die Angriffe so lange wiederholt, bis er einen Shell-Zugang auf dem angegriffenen Gerät geöffnet hat [6].

Der im Kontext von Stagefright ausgeführte Code hat automatisch Zugriff auf Kamera, DRM, Internet und Bluetooth [7], ein infiziertes Gerät kann also zum Beispiel verwendet werden, um den Benutzer zu überwachen [8]. Generell hat Stagefright oft zu viele Rechte [9]; der Code hat zum Beispiel auf manchen Geräten Zugriff auf die Systemgruppe, deren Rechte sehr nah an die von root herankommen, sodass womöglich eine Privilegieneskalation zu root einfach möglich ist. Außerdem hat der Stagefright-Prozess immer Zugriff auf das Internet. Betroffen sind die Android-Versionen von Version 2.2 bis hin zur aktuellen Version 5.1.1 („Lollipop“), die Schwachstellen sind also reichlich alt.

Die ab Android 4.1 implementierten Schutzmaßnahmen [10] stoppen bzw. behindern einen Teil der Angriffe, aber nicht alle. Besonders gefährdet sind daher die Geräte mit einer Version vor Android 4.1 („Jelly Bean“), die immer noch ungefähr elf Prozent des Gesamtmarkts ausmachen. Wie ein Angriff erfolgen kann, ist abhängig davon, welche Messaging-Plattform das Opfer verwendet [11]. In Google Hangout reicht die auf den Empfang folgende automatische Verarbeitung des Videos durch die App aus, um den eingeschleusten Code auszuführen. Der Benutzer muss Hangout nicht mal öffnen. In der Standard-Messaging-App von An­droid muss die präparierte MMS geöffnet, das Video darin aber nicht abgespielt werden.

Wer viel Glück hat, hat bereits vor der Veröffentlichung ein Android-Update für sein Gerät erhalten, das die Schwachstellen behebt – entsprechende Patches wurden von Joshua Drake bereits im April und Mai an Google geschickt und von Google jeweils innerhalb von 48 Stunden übernommen. Wie üblich dauert es aber einige Zeit, bis Android-Updates über die Hersteller die jeweiligen Geräte erreichen – wenn sie sie denn überhaupt erreichen. Als Workaround kann der automatische Download von MMS-Inhalten ausgeschaltet werden [12], [13].

28. Juli – Ist da ein Wurm drin?

Bruce Schneier ist der Ansicht, dass die Schwachstellen von einem Wurm ausgenutzt werden könnten, der ein Gerät infiziert und sich danach an jeden Eintrag im Adressbuch des Opfers schickt [14]. Das wäre äußerst unschön, um es mal höflich zu formulieren. Zumindest bisher ist zum Glück keiner der Cyberkriminellen auf die Idee gekommen, das auszuprobieren.

Während Schneier die Schwachstelle also für äußerst gefährlich hält, hat Google sie erst einmal heruntergespielt und zum Beispiel [15] von „unter Laborbedingungen auf alten Geräten entdeckt“, „niemand ist betroffen“ und Ähnlichem gesprochen und dabei auch immer wieder auf die Mitigations in den neueren Android-Versionen verwiesen. Nur sind Mitigations nun mal konzeptbedingt kein wirklicher Schutz vor einem Angriff, sie erschweren ihn nur. Das werden später sogar Entwickler aus Googles eigenem Sicherheitsteam beweisen.

29. Juli – Die nächste Schwachstelle wird veröffentlicht

Am 29. Juli hat Trend Micro die Entdeckung einer weiteren Schwachstelle in Stagefright gemeldet, über die das Gerät nahezu komplett lahmgelegt werden kann [16]. Es gibt keine Töne mehr von sich, sodass weder Anrufe noch eingehende Nachrichten oder Alarme signalisiert werden. Die Benutzeroberfläche reagiert nur noch verzögert oder gar nicht mehr, ein gesperrtes Telefon kann nicht mehr entsperrt werden. Betroffen sind alle Android-Versionen von 4.3 bis zur aktuellen Version 5.1.1 („Lollipop“).

Die Schwachstelle befindet sich im Mediaserver-Service, der für die Indexierung der Mediadateien auf dem Android-Gerät zuständig ist. Beim Verarbeiten eines präparierten Matroska-Containers kommt es durch einen Integerüberlauf zunächst zum Absturz des Service und danach des gesamten Systems. Die Schwachstelle kann entweder von einer bösartigen App oder einer präparierten Webseite ausgenutzt werden. Ein lahmgelegtes Gerät kann durch einen Reboot – im Fall einer bösartigen App im „Safe Mode“ – wieder zum Leben erweckt werden.

Trend Micro hat die Schwachstelle am 15. Mai an Google gemeldet, Google hat sie am 20. Mai bestätigt und ihr eine niedrige Priorität eingeräumt. Was verständlich ist, da ein Angriff durch einen Reboot aufgehoben werden kann. Die Schwachstelle eignet sich also nur zum Ärgern der Benutzer, würde sie zum Beispiel von Ransomware ausgenutzt, würden die Benutzer bestimmt kein Lösegeld zahlen, sondern einfach ihr Gerät neu starten.

30. Juli – Es gibt Exploits und Angriffe

Laut eines Forbes-Artikels [17] enthält die Exploit-Sammlung VulnDisco Exploits für zwei der Stagefright-Schwachstellen, die von den VulnDisco-Entwicklern unabhängig von den zLabs entdeckt wurden. VulnDisco wird von Regierungen und Unternehmen in Verbindung mit dem Penetration-Testing-Toolkit Canvas im Rahmen von Schwachstellentests eingesetzt; die Exploits enthalten daher keinen echten Schadcode. Der ließe sich aber vermutlich bei Bedarf schnell nachrüsten. Bedenklicher ist, dass zwei der Schwachstellen unabhängig voneinander von den Forschern der zLabs und VulnDisco entdeckt wurden. Angeblich haben die VulnDisco-Entwickler weitere Schwachstellen auf Lager. Womöglich arbeiten dann auch Cyberkriminelle bereits an 0-Day Exploits für bisher unbekannte Stagefright-Schwachstellen.

Die zLabs berichten, dass es anscheinend bereits Angriffe auf die von ihnen entdeckten sowie auf weitere Schwachstellen gibt [18]. Der beste Schutz vor einem Angriff besteht in der Installation der jeweils aktuellsten Android-Version, sofern das möglich ist. Für die vom Hersteller und Google nicht mehr unterstützten Geräte empfehlen die zLabs die Installation eines anderen Betriebssystems wie CyanogenMod, das ältere Geräte länger unterstützt. In CyanogenMod waren die Stagefright-Schwachstellen zu diesem Zeitpunkt bereits behoben [19]. Als Workaround kann, wie oben schon erwähnt, das automatische Abfragen von MMS ausgeschaltet werd...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang