Security: Neuer Stagefright-Exploit betrifft Millionen Android-Geräte

Forscher der Sicherheitsfirma Northbit haben einen neuen Exploit für Stagefright vorgestellt, der zahlreiche nach wie vor ungepatchte Android-Geräte angreifbar macht. Um den Angriff durchzuführen, werden speziell präparierte Webseiten genutzt. Der neue von den Forschern Metaphor genannte Exploit umgeht den Adress-Space-Layout-Randomization-Schutzmechanismus (ASLR) von Android.

Die vom Angreifer präparierte Webseite liefert ein Video aus, das den Android-Medienserver über XSS, Werbeanzeigen oder eine Drive-by-Kampagne zum Absturz bringt. Eine Javascript-Datei auf der Webseite wartet dann, bis der Medienserver neu gestartet ist und liest dann einige Informationen über das Gerät aus. Denn Angreifer müssen herausfinden, wohin im Speicher Android lib.so und libicui8n geladen hat.

Reines Parsen der Datei reicht für Exploit aus

Diese Informationen werden dann genutzt, um speziell auf das Gerät zugeschnittene Videodateien auszuliefern. Diese müssen vom Nutzer nicht geöffnet werden, der Stagefright-Exploit wird schon durch das bloße Parsing der Datei aktiviert. Um ASLR zu umgehen, muss der Angriff möglicherweise mehrfach durchgeführt werden, was mit entsprechendem Script auf der Webseite aber möglich sein dürfte. Der Exploit funktioniert nach Angaben von Northbit in den Android-Versionen 2.2 bis 4.0, die noch nicht über ASLR verfügen, außerdem sollen die Versionen 5.0 und 5.1 betroffen sein. Wer eine ältere, ungepatchte Android-Version einsetzt, kann sich durch die Aktivierung von Noscript zumindest ein wenig absichern.

Stagefright wurde im Sommer 2015 erstmals von Zimperium entdeckt, später veröffentlichten Forscher einen weiteren Exploit im Medienserver. Weil der ursprüngliche Exploit durch MMS ausnutzbar war, hatten Netzbetreiber deren Versand zwischenzeitlich deaktiviert. Zahlreiche Hersteller hatten als Reaktion monatliche Sicherheitsupdates angekündigt, doch nicht alle Unternehmen patchen tatsächlich regelmäßig.