Anzeige
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist.
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium)

Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen

Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist.
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium)

Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates.

Anzeige

Der IT-Sicherheitsforscher Joshua Drake hat auf der Black-Hat-Konferenz in Las Vegas Details zu zahlreichen Stagefright-Sicherheitslücken in Android präsentiert. Stagefright ist für die Verarbeitung von Mediadateien auf Android-Systemen zuständig. Schon vorab waren einige Informationen über die Lücke bekanntgeworden, etwa dass sie sich über MMS-Nachrichten ausnutzen lässt.

Stagefright seit Android 2.3 Standard

Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien. Drake ist nicht der erste, der sich die Stagefright-Bibliothek angesehen hat. Ein Team um den Intel-Entwickler Alexandru Blanda hatte im März auf dem Android Builders Summit ein Fuzzing-Tool für Stagefright vorgestellt, mit dem er zahlreiche Sicherheitslücken gefunden hatte.

Die Stagefright-Bibliothek wird vom Mediaserver-Prozess genutzt, der permanent im Hintergrund auf Android-Geräten läuft. Drake untersuchte auf zahlreichen Android-Geräten, welche Rechte dieser Prozess besitzt. Dabei gab es deutliche Unterschiede zwischen Android-Varianten verschiedener Hersteller, aber auf nahezu der Hälfte aller Geräte besaß der Mediaserver die Rechte der System-Gruppe. Damit lassen sich nahezu beliebig Manipulationen auf einem System durchführen, es können etwa Apps installiert und deren Rechte verändert werden.

MMS-Nachrichten nur einer von vielen Angriffsvektoren

Joshua Drake suchte den Android-Code systematisch nach Stellen ab, in denen der Mediaserver aufgerufen wird. So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.

Auf aktuellen Android-Systemen kommt als MMS-App Google Hangouts zum Einsatz. Sobald eine MMS-Nachricht eingeht werden angehängte Videos vom Stagefright-Code verarbeitet. Theoretisch wäre es damit sogar möglich, zu verhindern, dass überhaupt der Eingang der MMS-Nachricht angezeigt wird, denn schon vorher könnte ein Exploit Code ausführen. Drake erwähnte, dass er zahlreiche weitere mögliche Angriffsvektoren nicht getestet hat. So wisse er beispielsweise nicht, ob Nachrichten über Whatsapp oder den Facebook-Messenger betroffen sind.

Um Sicherheitslücken im Stragefight-Code zu finden entwickelte Drake zunächst ein simples Fuzzing-Tool ohne viel Intelligenz, welches Stagefright mit fehlerhaften MP4-Dateien testete. Dabei traten etwa 20 Abstürze auf, die jedoch alle nicht sicherheitskritisch waren. Doch Drake schaute sich die jeweiligen Codestellen an und fand dabei weitere Bugs. Diese erwiesen sich als Sicherheitslücken und erhielten die Ids CVE-2015-1538 und CVE-2015-1539.

Weitere Lücken fand Drake, nachdem er statt seines selbst entwickelten Fuzzers das Tool American Fuzzy Lop von Google-Entwickler Michal Zalewski einsetzte. Sechs weiter Sicherheitslücken traten danach zu Tage. Um American Fuzzy Lop einzusetzen musste Drake den Stagefright-Code zunächst auf Linux portieren.

Fehlerhafter Check verhindert Integer-Overflow nicht

Die kritischste und am einfachsten auszunutzende Lücke war ein relativ simpler Integer-Overflow. Interessant dabei: Bereits Mitte 2014 wurde in den entsprechenden Code ein Check eingefügt, der eigentlich Integer-Overflows verhindern sollte. Eine Berechnung, deren Ergebnis in einer 32-Bit-Variable Platz finden sollte, wurde zunächst in einer 64-Bit-Variable durchgeführt und anschließend geprüft, ob das Resultat nicht zu groß für eine 32-Bit-Variable ist. Doch hier zeigte sich eine Tücke von C: Wenn eine Berechnung durchgeführt wird, deren Eingaben 32-Bit-Variablen sind, so wird auch das Ergebnis zunächst als 32-Bit-Wert abgespeichert. Somit war der Integer-Overflow trotz Check weiterhin vorhanden. Durch die fehlerhafte Berechnung kam es zu einer Heap-Corruption-Lücke.

Um die Ausnutzung derartiger Memory-Corruption-Lücken zu erschweren hat Android einige Mechanismen implementiert. Doch die meisten davon greifen laut Drake nicht. Sogenannte Stack Canaries spielen hier keine Rolle, da es sich um einen Fehler im Heap-Speicher handelt. Die Markierung von Speicher als Nicht-Ausführbarer Code (NX-Flag) lässt sich durch eine Methode namens Return-oriented-Programming (ROP) aushebeln. Die einzig wirkliche Hürde stellte die Speicherrandomisierung ASLR (Address Space Layout Randomization) dar.

ASLR erschwert Ausnutzung von Fehlern

ASLR wurde unter Android erst mit Version 4.0 eingeführt. Doch die ersten ASLR-Implementierungen waren unvollständig. Für Android 4.0 gelang es Drake daher, einen Exploit zu entwickeln. Die Aushebelung von ASLR unter neueren Android-Versionen ist laut Drake vermutlich ebenfalls möglich. Ein Problem dabei: Unter 32-Bit-Systemen bietet ASLR nur einen eingeschränkten Schutz, da die Speicherrandomisierung nur begrenzt viele mögliche Speicheradressen ausnutzen kann. In manchen Fällen kann ein Angreifer die möglichen Adressen schlicht durch einen Brute-Force-Angriff durchprobieren.

Die Veröffentlichung der Lücke gestaltete sich als kompliziert. Drake informierte Google im April und kurz darauf auch die Entwickler von Firefox. Firefox nutzt unter allen Systemen außer Linux ebenfalls die Stagefright-Bibliothek. Weiterhin informierte Drake zahlreiche Hersteller von Android-Geräten, unter anderem Blackphone. Google akzeptierte die von Drake bereitgestellten Patches innerhalb weniger Tage und pflegte sie in den intern verwalteten Android-Quellcode ein. Patches stehen jedoch selbst für Googles eigene Geräte erst seit einigen Tagen bereit.

Viele Geräte werden den Patch vermutlich nie erhalten. Bei den meisten Smartphone-Herstellern ist es üblich, dass Patches für das Betriebssystem nur relativ kurze Zeit bereitgestellt werden, alte Modelle werden nicht mehr unterstützt. Die Stagefright-Lücken machen einmal mehr schmerzhaft deutlich, dass fehlende Updates das größte Problem in Sachen Android-Security sind.

Samsung und Google führen Patch-Day ein

Trotzdem zeigt sich Drake vorsichtig optimistisch. Samsung und Google haben gerade angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Drakes Firma Zimperium hat kürzlich eine Organisation gegründet, die die Sicherheit im Android-Ökosystem verbessern möchte und in der zahlreiche Hersteller von Android-Geräten - darunter auch solche, die nicht offiziell von Google lizensiert sind - versammelt sind.

Einige Hintergrundinformationen zur Sicherheitslücke hat Drake heute im Blog von Zimperium veröffentlicht. Im Play-Store von Google findet man außerdem jetzt ein Test-Tool, mit dem man prüfen kann, ob das eigene Android-Gerät von Stagefright betroffen ist.


eye home zur Startseite
fuzzy 07. Aug 2015

Ich fasse kurz zusammen: Was du zitierst hast, hat überhaupt nix mit der Berechtigungs...

katzenpisse 07. Aug 2015

Bei all den Lücken in allen Systemen rege ich mich schon lange nicht mehr auf, sondern...

Hannilein13 07. Aug 2015

Danke für den Artikel. Wirklich lesenswert.

Jasmin26 06. Aug 2015

schon, nur wäre das dann in etwa so , wie wenn du dein auto nicht mehr betanks um die...

TC 06. Aug 2015

K Zoom, steh da doch ;) Es hat kein "richriges" Knox, aber geflaggt auf "custom" wirds...

Kommentieren



Anzeige

Stellenmarkt
  1. HELUKABEL GmbH, Hemmingen
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. GENTHERM GmbH, Odelzhausen
  4. Wirecard Technologies GmbH, Aschheim bei München


Anzeige
Hardware-Angebote
  1. nur 799,90€

Folgen Sie uns
       


  1. Vorstandard

    Nokia will bereits ein 5G-fähiges Netz haben

  2. Vielfliegerprogramm

    Hacker stehlen Millionen Air-India-Meilen

  3. Funknetz

    BVG bietet offenes WLAN auf vielen U-Bahnhöfen

  4. Curiosity

    Weitere Hinweise auf einst sauerstoffreiche Mars-Atmosphäre

  5. Helium

    Neues Gas aus Tansania

  6. Streaming

    Netflix arbeitet intensiv an einer Sprachsuche

  7. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  8. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch

  9. Raumfahrt

    Kepler Communications baut Internet für Satelliten

  10. Klage zum Leistungsschutzrecht

    Verlage ziehen gegen Google in die nächste Runde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. Firaxis Games Lernen und prüfen mit Civilization Edu
  2. MCreator für Arduino Mit Klötzchen LEDs steuern
  3. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

  1. Re: Fragen

    An0nym0u5 | 18:51

  2. Re: Um xxx, desto xxx oder Je xxx, desto xxx

    Segelschiff | 18:48

  3. Re: MS könnte so langsam beginnen für jede...

    Lala Satalin... | 18:47

  4. Meilen als Währung?

    FullMoon | 18:46

  5. Re: Und was wollen die jetzt genau damit??

    Der Held vom... | 18:45


  1. 18:25

  2. 18:17

  3. 17:03

  4. 16:53

  5. 16:44

  6. 15:33

  7. 14:47

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel