[Dieser Artikel wurde mehrfach aktualisiert. Die Ergänzungen findet ihr am Ende] Schon wenige fachkundige Änderungen an einer beliebigen Videodatei im MP4-Format reichen offenbar aus, um das Multimedia-Framework von Android zum Absturz zu bringen. Besonders kritisch ist, dass es im Verlauf dieses Absturzes zu einem sogenannten Heap Overflow kommt, also einem Pufferüberlauf. Wenn das passiert, kann auf dem Android-System in erheblichem Umfang Schadsoftware ausgeführt werden.
Erste Details zur somit sehr gefährlichen Stagefright-Sicherheitslücke (edit) tauchten vor wenigen Tagen beim Antivirus-Hersteller Trend Micro auf, der auch sofort auf Parallelen zur ebenfalls erst seit einigen Tagen bekannten MMS-Sicherheitslücke hinwies. Entdeckt hat den Bug Joshua Drake von der israelischen Sicherheitsfirma Zimperium Labs, der die Schwachstelle bei Google meldete. Die MMS-Sicherheitslücke ermöglicht einem Angreifer z.B. die Installation einer Spyware oder eines anderen Schadprogramms beim Öffnen einer manipulierten MMS-Nachricht, ohne dass der Besitzer des Smartphones davon etwas mitbekommt.
94% aller Android-Geräte betroffen
Die Dimensionen der beiden Sicherheitslücken kann man erahnen, wenn man einen Blick die Verbreitung der der betroffenen Android-Versionen wirft. Gefährdet sind alle Android-Versionen ab 4.0.1 bis hin zur aktuellen Version 5.1.1 Lollipop, so dass circa 94% aller heutzutage benutzten Android-Geräte ein potentielles Ziel sein können.
Während MMS-Nachrichten heutzutage eher seltener sind und zudem für einen potentiellen Angreifer einen etwas größeren Aufwand beim Attackieren einer signifikanten Anzahl von Smartphones mit sich bringen, bergen die infizierten MP4-Dateien ein wesentlich höheres Risiko. Diese können sich theoretisch auf jeder beliebigen, speziell dafür angelegten oder kompromittierten Internetseite befinden. Auch eine Verbreitung über Soziale Netzwerke wäre ohne weiteres möglich, wie das nachfolgende Video am Beispiel von twitter zeigt:
Auf dem Smartphone installierte Apps, die ebenfalls auf die mediaserver-Komponente von Android zugreifen können, sind ebenfalls ein potentielles Einfallstor. Kurz gesagt: es gibt unüberschaubar viele Möglichkeiten, wie eine derart manipulierte Videodatei ihren Weg auf das Smartphone des Benutzers finden könnte. Da der in Android integrierte mediaserver zentral jegliche Aufgaben im Videobereich übernimmt – also z.B. das Öffnen und Lesen, aber auch das Aufnehmen, Codieren und Decodieren von MPEG4-Streams oder das Lesen und Schreiben auf eine microSD-Speicherkarte – kann ein vom Angreifer eingeschleuster Schadcode nach den bisher vorliegenden Angaben all diese Dinge ebenfalls tun, im „Schatten“ der jeweiligen App-Berechtigung.
Stagefright-Attacke über eine Video-App
Bekannt ist die Stagefright-Sicherheitslücke bereits seit dem 19. Mai, wurde aber angesichts ihrer Dimensionen bisher nicht veröffentlicht. Auch einen ersten Sicherheitspatch des Android-Security-Teams gibt es schon, dieser wurde am 22. Juli freigegeben. Doch wer nun denkt, dass der Jelly Bean damit gelutscht ist, wird enttäuscht. Leider zeigt sich auch diesmal ein von uns erst kürzlich kritisiertes Manko des Betriebssystems Android: durch die katastrophale Update-Politik der Hersteller könnte es Wochen oder Monate dauern, bis die Sicherheitslücke von allen Herstellern auf allen betroffenen Geräten gefixt wird – sofern dieses Ziel überhaupt erreicht wird.
Google kann Patches und Fixes bereitstellen, aber bei der Anpassung und Verteilung sind die Hersteller und u.U. (OTA) sogar die Mobilfunk-Provider involviert. Genau das meinten wir, als wir angesichts der Fragmentierung des Android-Systems konsterniert feststellten, dass „Android suckt!“ – wohlgemerkt vor dem Bekanntwerden dieser neuen Sicherheitslücke, als hätten wir es geahnt.
In den zurückliegenden Stunden wurde das nächste Level der Bedrohung erreicht. Mittlerweile kursieren im Netz die ersten Anleitungen zum Bau eines sogenannten Exploits, der die beiden Schwachstellen gezielt ausnutzt, weitere Ansätze sind sicherlich bereits „in Arbeit“. Die russische Sicherheitsfirma intevydis, die u.a. Regierungsorganisationen zu ihren Kunden zählt, soll bereits gegen entsprechende Bezahlung ein fertiges „Proof of Concept“ anbieten.
Stagefright, Abwehrmaßnahmen? (Fast) keine.
Weitere Details zur Stagefright-Sicherheitslücke sollen spätestens am kommenden Mittwoch bekanntgegeben werden, dann findet in Las Vegas die Hacker-Konferenz „BlackHat“ statt, auf der auch Joshua Drake anwesend sein wird.
Bis dahin wächst die Bedrohung täglich. Nach den bisher vorliegenden Erkenntnissen haben nur wenige Hersteller – darunter Google für das Nexus 6 – entsprechende Patches ausgespielt, auch ein entsprechendes Samsung-Update steht wohl zumindest für das Galaxy Note 4 an. Angesichts der Zahl der betroffenen Android-Versionen, Hersteller und Smartphone-Modelle ist das alles natürlich nur ein Tropfen auf den heißen Stein.
Eine Alternative für technisch versiertere Besitzer eines (auch älteren) Smartphones wäre die Installation von CyanogenMod, das in den Versionen 11 und 12 bereits über den entsprechenden Stagefright-Patch verfügt. Und allen anderen kann man momentan nur raten, keine Videodateien aus unbekannter Quelle abzuspielen – sofern man das als Benutzer überhaupt einordnen kann.
Es reicht!
Spätestens jetzt sollte sich Google ernsthaft Gedanken darüber machen, ob man die aktuelle Praxis der herstellerspezifischen Android-Anpassungen und das konsequente Wegsehen bezüglich nie erfolgender Hersteller-Updates weiterhin so fortsetzen kann.
Man stelle sich vor, Millionen von Windows-Benutzern wären beim Auftreten jeder Sicherheitslücke in den zurückliegenden 30 Jahren vom guten Willen ihres Notebook- oder PC-Herstellers abhängig gewesen, der je nach Kostenkalkulation oder Lust und Laune ein offizielles Microsoft-Update ausgespielt hätte – oder eben nicht. Dann würden wir – bei aller rückblickend sicherlich z.T. berechtigten Kritik an Microsofts eigener Update-Politik in einigen Fällen – heute in der digitalen Steinzeit leben. So etwas ist einfach nicht mehr hinnehmbar, hier muss Google als verantwortliches Unternehmen für Android nun endlich verbindliche Vorgaben setzen. Diese Sicherheitslücken gefährden nicht „nur“ den Besitzer des betroffenen Smartphones, sie ziehen oftmals auch Dritte oder ganze Infrastrukturen in Mitleidenschaft.
In unserer aktuellen Umfrage zu den wichtigsten Smartphone-Features nehmen regelmässige Updates jedenfalls eine solide Position ein. Den Nutzern scheint also längst klar zu sein, wie wichtig dieser Punkt ist. Es wird Zeit, dass dies auch bei den verantwortlichen Managern und Programmierern der Smartphone-Hersteller ankommt.
Quelle(n): trendmicro.com, heise.de
Update (05. August, 17:45 Uhr)
Mittlerweile bricht ein wenig Hektik aus, auch hierzulande. Die Telekom stuft die Sicherheitslücke offenbar als so dramatisch ein, dass sie nun kurzerhand den automatischen MMS-Empfang deaktiviert. Eine MMS muss jetzt manuell gedownloadet werden, über einen per SMS versandten Link mit Zugangsdaten. Zudem weist das Unternehmen darauf hin, dass auch WhatsApp und Hangouts betroffen sind. Wie wir bereits schrieben, ist jede medienfähige App potentiell gefährdet.
Ein erstes Lob muss man Samsung aussprechen. Die rollen in den USA bereits die ersten Security-Fixes für das Galaxy S6 und S6 edge, das Galaxy S5 und das Note Edge aus. Bleibt zu hoffen, dass bald auch hierzulande die ersten Patches auf den Geräten eintreffen, diese von den Benutzern tatsächlich installiert werden und schnellstmöglich weitere Modelle und Hersteller folgen.
Update (06. August)
So, die Entdecker der Stagefright-Sicherheitslücke von Zimperium haben in der Zwischenzeit ein weiteres Demo-Video veröffentlicht, dass die vollständig stille Übernahme eines Smartphones inklusive Root-Zugriff zeigt. Das ist ’ne ganz fiese Nummer …
Zudem gibt es nun eine Android App, mit der sich das eigene Smartphone auf die Sicherheitslück testen lässt. Wenn der Hersteller eures Smartphones also bisher noch kein Sicherheits-Update veröffentlicht bzw. ausgerollt hat, könnt ihr das damit überprüfen und gegebenenfalls mal bei der Support-Hotline Druck machen.
Update (06. August, 17:30 Uhr)
Bei cio.com ist nun eine eine Stellungnahme des Google-Ingenieurs Adrian Ludwig veröffentlicht worden, der auf der bereits o. erwähnten BlackHat-Konferenz die Sicherheitslücke erläutert hat.
Demnach sollen bei weitem nicht so viele Smartphones und Betriebssystem-Versionen betroffen sein wie bisher angenommen. Ludwig sagte, dass neunzig Prozent aller Android-Geräte über eine Sicherheits-Technologie namens Address Space Layout Randomization (ASLR) gegen die hier relevanten Pufferüberläufe geschützt. Sollte das stimmen, würde die Stagefright-Sicherheitslücke tatsächlich nur einen Bruchteil der heute aktiven Smartphones betreffen.
Also, alles nur Panikmache?
Update (11. August, 17:50 Uhr)
Obwohl immer noch das Statement Googles im Raum steht, dass lediglich ein Bruchteil älterer Smartphones von der Stagefright Sicherheitslücke betroffen sind, trudeln immer mehr OTA-Updates auf den neueren Devices der Benutzer ein. Wie oben bereits erwähnt greift ab Android 4.0 mit ASLR ein weiterer Sicherheits-Level, der die meisten Smartphones bereits weitgehend schützt, dennoch legen viele Hersteller nun erfreulicherweise nach und wollen die Geräte stärker absichern.
Die Modell-Liste ist nahezu unüberschaubar, aber wie angekündigt scheinen z.B. bereits Google für die neuere Nexus-Serie oder Samsung für das S6 und S6 edge, Galaxy Note Edge, Note 4 und S5 bereits geliefert zu haben. Auch bei Motorola war man offenbar schon fleissig. Hier will man die gesamte Produktpalette der letzten zwei jahre updaten.
Ob euer Smartphone bereits gepatcht wurde, lässt sich mit der Zimperium-App leicht herausfinden:
Samsung, Google und mittlerweile auch LG haben unterdessen nochmals bestätigt, dass man im Rahmen einer gemeinsamen Initiative zukünftig wesentlich häufer, mindestens aber monatlich die relevanten Sicherheits-Patches ausrollen werde – ohne dabei immer bzw. vorab verbindlich die Modelle zu nennen, die in den Genuss kommen. Es ist ein Anfang, und vielleicht der positive Nebeneffekt dieser Sicherheitslücke.
AFTVNews.com weiss unterdessen zu berichten, dass Amazon die Lücke auf dem Fire TV Stick bereits vor dem allgemeinen Bekanntwerden geschlossen hat. Lobenswert, aber umso peinlicher für die Smartphone-Hersteller, die sich ja relativ lange Zeit liessen.
Diese Verzögerung hat unter anderem dazu geführt, dass Trittbrettfahrer auf den Zug aufspringen konnten und mit einer angeblich von Google stammenden Mail einen Trojaner verbreiteten. Wer sich in den letzten Tagen an eine solche Mail erinnern kann und sich tatsächlich die .apk-Datei installiert hat, hat nun ein Problem.
Update (19. September, 14:15 Uhr)
Mehrere Wochen sind nun seit dem Auftauchen des Stagefright Exploits vergangen und das Thema beschäftigt sowohl die Hersteller als auch Google noch immer. Wie Ars Technica nun berichtet hat Googles eigenes Security Team die bisherigen Aussagen der PR-Abteilung in Frage gestellt. Von dort verlautbarte mehrfach, dass die ASLR-Technologie (Address Space Layout Randomization) in neueren Android-Versionen einen zuverlässigen Schutz gegen den Exploit biete.
Das Security Team von Googles Project Zero stellt diese pauschale Aussage nun offenbar in Teilen in Frage. In einem internen Test mit einem komprommittierten Nexus 5 unter Android 5.x zeigte sich zwar, dass ASLR im besten Fall die Erfolgschancen eines Exploit verringert. Die Ansprüche der Entwickler an einen „Schutz“, wie es von der PR-Abteilung kommuniziert wurde, erfüllt die Technologie aber offenbar nicht.
Unterdessen hat der Entdecker des Exploits Joshua Drake angeblich Indizien dafür, dass der Schutzmechanis noch geringer sei als nun von den Google-Programmierern bemängelt.
Das Thema wird uns wohl noch eine Weile begleiten. Wie sieht es bei euch aus, habt ihr in den letzten Wochen ein Android-Sicherheitsupdate von Google oder eurem Smartphone-Hersteller erhalten? Und habt ihr mal über die Test-App (siehe oben) überprüft, ob euer Device noch gefährdet ist?
Bildquelle: Rob Buhlmann, via Flickr, CC by 2.0, Veränderungen durch uns