Sicherheitslücke in Android Medien-Engine Stagefright

07.08.2015
G DATA Blog

Die Medien berichten aktuell über eine ernstzunehmende Sicherheitslücke, die vermeintlich 95% aller Android-Mobilgeräte betrifft. Damit bekommt das Problem eine enorme Tragweite, doch trotzdem ist ein besonnener Umgang mit den Informationen wichtig. G DATA gibt Tipps zur Entschärfung der Situation – lösen können das Problem aber nur die Gerätehersteller.

Worum geht es?

Im Android-Betriebssystem gibt es in einer Bibliothek (EN: library) zur Anzeige von Medieninhalten mehrere Schwachstellen. Die Stagefright Engine wird für die Aufnahme und Wiedergabe von Audio- und Videodateien benutzt. Über diese Sicherheitslücken können Angreifer Audio- und Videodateien nutzen, um unerlaubt (Schad-)Code auf dem betroffenen Gerät auszuführen. Dies kann automatisch im Hintergrund geschehen ohne Wissen und Zutun des Nutzers.

Warum sind diese Sicherheitslücken so schlimm?

Es gibt mindestens eine Möglichkeit zum Angriff, bei der ein Benutzer (fast) schutzlos ist, da es zwischen Angriff und Ausführung der Schadfunktion keinerlei Nutzerinteraktion geben muss: die Angreifer brauchen nur eine speziell manipulierte MMS an das anzugreifende Gerät senden und durch das im Standardfall aktivierte automatische Nachladen der MMS-Inhalte auf das Telefon knacken die Angreifer die angesprochene Bibliothek. Somit haben sie die Möglichkeit, verschiedene Schadfunktionen auf dem Gerät auszuführen, wobei sie in Kombination mit anderen Exploits auch Rootrechte erlangen können.

Dabei könnten die Angreifer die MMS sogar nach dem erfolgreichen Angriff sofort löschen, so dass der Nutzer im Grunde keinerlei Chance hat, die Attacke überhaupt zu bemerken. Neben dieser aktuell besonders diskutierten Problematik mit den MMS-Angriffen wurden weitere Hintergründe zur Stagefright-Thematik auf der diesjährigen Konferenz BlackHat vorgestellt.

Warum ist der Nutzer „fast“ schutzlos? Was kann er tun?

Nun, das Schließen der Sicherheitslücken im Quellcode des Betriebssystems ist Aufgabe der Gerätehersteller. Sie müssen hier nachbessern und die jeweiligen Geräte mit Updates versorgen. Besonders problematisch ist, dass die Lücke nicht nur im Android Betriebssystem geschlossen werden muss. Viele Anbieter von mobilen Endgeräten haben spezielle Anpassungen vorgenommen und müssen nun ihre Betriebsversionen anpassen. 

Einen Schutz vor den beschriebenen Angriffen per MMS bieten zwei entschärfende Maßnahme: 

  • Das automatische Laden von MMS-Inhalten sollte auf dem Gerät abgeschaltet werden
  • Benutzer sollten möglichst den Empfang von Textnachrichten unbekannter Absender verbieten.

Allerdings bleiben die Möglichkeiten anderer Angriffsvektoren davon unberührt und daher können die Benutzer nur auf ein Schnelles Handeln der Gerätehersteller hoffen. 

  • Laden Sie das System-Update für ihr spezifisches Gerät sobald es verfügbar ist.

Außerdem sollten die Android-Geräte durch eine leistungsstarke Sicherheitssoftware geschützt werden. Diese können die Sicherheitslücken nicht schließen, aber sie können mit dem Stagefright-Exploit nachgeladene Malware identifizieren und blocken!

Wer ist von den Lücken betroffen?

Die initialen Berichte über die Sicherheitslücke beschreiben, dass „Android-Geräte und Derivate ab und inklusive Version 2.2“ anfällig sind. „Geräte, die Versionen älter als Jelly Bean nutzen, sind am schwersten betroffen, da es hier unzureichende Exploit Entschärfungen gibt“, sagt der Bericht. Faktisch ist es jedoch egal, ob eine Version betroffen oder schwer betroffen ist, denn alle sind verwundbar. Die CERT Division des Software Engineering Institute stellt eine Liste mit betroffenen Geräten zur Verfügung.Bisher sind keine öffentlich bekannten Angriffe in freier Wildbahn registriert worden, jedoch gibt es Anzeichen dafür, dass der Angriffscode schon seit Wochen in Untergrundforen kursiert.

Seit wann gibt es diese Lücke?

Die aktuellen Berichte stützen sich auf eine Veröffentlichung vom 27. Juli 2015. Allerdings behauptet ein in Android-Entwicklerkreisen bekannter User namens Droopyar, dass Informationen zu dieser Sicherheitslücke schon im März bekannt wurden.

Was bedeutet das für die Zukunft?

Die Stagefright Engine ist laut Wissenschaftlern selbstverständlich „nicht die einzige angreifbare Komponente“. Die wichtige Neuerung bei diesen Angriffen ist, dass Smartphones und Tablets automatisch und unbemerkt vom Nutzer infiziert werden können. Bislang war der einzige Weg Schadprogramme auf ein Smartphone zu übertragen, den Nutzer dazu zu bringen, dass eine (schädliche) Software installiert wurde. Das ist jetzt nicht mehr der Fall. Wir gehen davon aus, dass Angriffe, bei denen keine Nutzerinteraktion mehr für eine Infektion nötig sind, in Kürze von Angreifern genutzt werden. Damit ergibt sich eine neue Angriffslandschaft und der Schutz der Mobilgeräte wird noch wichtiger als zuvor.

Gibt es auch etwas Positives aus diesem Vorfall zu ziehen?

Tatsächlich könnte man an dieser Stelle eine Ankündigung von Google zum positiven Outcome dieses Vorfalls zählen: Ab sofort „werden die hauseigenen Nexus-Geräte jeden Monat regelmäßige OTA (= over the air; DE: drahtlos) Updates bekommen, zusätzlich zu den normalen Plattform-Updates“, berichtet der offizielle Android-Blog

Außerdem erhalten Nexus-Geräte zukünftig zwei Jahre lang Haupt-Updates und drei Jahre lang Sicherheits-Updates (gerechnet ab dem ersten Verkauf eines Modells). Läuft eine Modell-Reihe im offiziellen Google Shop aus, erhält man nach dem letzten Verkaufstag noch 18 Monate Sicherheits-Updates.

Benutzer anderer Geräte-Hersteller sind jedoch weiterhin auf deren Update-Politik angewiesen, die mitunter zu enormen zeitlichen Verzögerungen beim Ausliefern des wichtigen Codes führt. Dies führt für diese Nutzer zu sicherheitsrelevanten Nachteilen, wie wir bereits im G DATA Malware Report H1 2011 prognostizierten.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein