Abo
  • Services:
Anzeige
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist.
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium)

Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen

Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist.
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium)

Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates.

Anzeige

Der IT-Sicherheitsforscher Joshua Drake hat auf der Black-Hat-Konferenz in Las Vegas Details zu zahlreichen Stagefright-Sicherheitslücken in Android präsentiert. Stagefright ist für die Verarbeitung von Mediadateien auf Android-Systemen zuständig. Schon vorab waren einige Informationen über die Lücke bekanntgeworden, etwa dass sie sich über MMS-Nachrichten ausnutzen lässt.

Stagefright seit Android 2.3 Standard

Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien. Drake ist nicht der erste, der sich die Stagefright-Bibliothek angesehen hat. Ein Team um den Intel-Entwickler Alexandru Blanda hatte im März auf dem Android Builders Summit ein Fuzzing-Tool für Stagefright vorgestellt, mit dem er zahlreiche Sicherheitslücken gefunden hatte.

Die Stagefright-Bibliothek wird vom Mediaserver-Prozess genutzt, der permanent im Hintergrund auf Android-Geräten läuft. Drake untersuchte auf zahlreichen Android-Geräten, welche Rechte dieser Prozess besitzt. Dabei gab es deutliche Unterschiede zwischen Android-Varianten verschiedener Hersteller, aber auf nahezu der Hälfte aller Geräte besaß der Mediaserver die Rechte der System-Gruppe. Damit lassen sich nahezu beliebig Manipulationen auf einem System durchführen, es können etwa Apps installiert und deren Rechte verändert werden.

MMS-Nachrichten nur einer von vielen Angriffsvektoren

Joshua Drake suchte den Android-Code systematisch nach Stellen ab, in denen der Mediaserver aufgerufen wird. So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.

Auf aktuellen Android-Systemen kommt als MMS-App Google Hangouts zum Einsatz. Sobald eine MMS-Nachricht eingeht werden angehängte Videos vom Stagefright-Code verarbeitet. Theoretisch wäre es damit sogar möglich, zu verhindern, dass überhaupt der Eingang der MMS-Nachricht angezeigt wird, denn schon vorher könnte ein Exploit Code ausführen. Drake erwähnte, dass er zahlreiche weitere mögliche Angriffsvektoren nicht getestet hat. So wisse er beispielsweise nicht, ob Nachrichten über Whatsapp oder den Facebook-Messenger betroffen sind.

Um Sicherheitslücken im Stragefight-Code zu finden entwickelte Drake zunächst ein simples Fuzzing-Tool ohne viel Intelligenz, welches Stagefright mit fehlerhaften MP4-Dateien testete. Dabei traten etwa 20 Abstürze auf, die jedoch alle nicht sicherheitskritisch waren. Doch Drake schaute sich die jeweiligen Codestellen an und fand dabei weitere Bugs. Diese erwiesen sich als Sicherheitslücken und erhielten die Ids CVE-2015-1538 und CVE-2015-1539.

Weitere Lücken fand Drake, nachdem er statt seines selbst entwickelten Fuzzers das Tool American Fuzzy Lop von Google-Entwickler Michal Zalewski einsetzte. Sechs weiter Sicherheitslücken traten danach zu Tage. Um American Fuzzy Lop einzusetzen musste Drake den Stagefright-Code zunächst auf Linux portieren.

Fehlerhafter Check verhindert Integer-Overflow nicht

Die kritischste und am einfachsten auszunutzende Lücke war ein relativ simpler Integer-Overflow. Interessant dabei: Bereits Mitte 2014 wurde in den entsprechenden Code ein Check eingefügt, der eigentlich Integer-Overflows verhindern sollte. Eine Berechnung, deren Ergebnis in einer 32-Bit-Variable Platz finden sollte, wurde zunächst in einer 64-Bit-Variable durchgeführt und anschließend geprüft, ob das Resultat nicht zu groß für eine 32-Bit-Variable ist. Doch hier zeigte sich eine Tücke von C: Wenn eine Berechnung durchgeführt wird, deren Eingaben 32-Bit-Variablen sind, so wird auch das Ergebnis zunächst als 32-Bit-Wert abgespeichert. Somit war der Integer-Overflow trotz Check weiterhin vorhanden. Durch die fehlerhafte Berechnung kam es zu einer Heap-Corruption-Lücke.

Um die Ausnutzung derartiger Memory-Corruption-Lücken zu erschweren hat Android einige Mechanismen implementiert. Doch die meisten davon greifen laut Drake nicht. Sogenannte Stack Canaries spielen hier keine Rolle, da es sich um einen Fehler im Heap-Speicher handelt. Die Markierung von Speicher als Nicht-Ausführbarer Code (NX-Flag) lässt sich durch eine Methode namens Return-oriented-Programming (ROP) aushebeln. Die einzig wirkliche Hürde stellte die Speicherrandomisierung ASLR (Address Space Layout Randomization) dar.

ASLR erschwert Ausnutzung von Fehlern

ASLR wurde unter Android erst mit Version 4.0 eingeführt. Doch die ersten ASLR-Implementierungen waren unvollständig. Für Android 4.0 gelang es Drake daher, einen Exploit zu entwickeln. Die Aushebelung von ASLR unter neueren Android-Versionen ist laut Drake vermutlich ebenfalls möglich. Ein Problem dabei: Unter 32-Bit-Systemen bietet ASLR nur einen eingeschränkten Schutz, da die Speicherrandomisierung nur begrenzt viele mögliche Speicheradressen ausnutzen kann. In manchen Fällen kann ein Angreifer die möglichen Adressen schlicht durch einen Brute-Force-Angriff durchprobieren.

Die Veröffentlichung der Lücke gestaltete sich als kompliziert. Drake informierte Google im April und kurz darauf auch die Entwickler von Firefox. Firefox nutzt unter allen Systemen außer Linux ebenfalls die Stagefright-Bibliothek. Weiterhin informierte Drake zahlreiche Hersteller von Android-Geräten, unter anderem Blackphone. Google akzeptierte die von Drake bereitgestellten Patches innerhalb weniger Tage und pflegte sie in den intern verwalteten Android-Quellcode ein. Patches stehen jedoch selbst für Googles eigene Geräte erst seit einigen Tagen bereit.

Viele Geräte werden den Patch vermutlich nie erhalten. Bei den meisten Smartphone-Herstellern ist es üblich, dass Patches für das Betriebssystem nur relativ kurze Zeit bereitgestellt werden, alte Modelle werden nicht mehr unterstützt. Die Stagefright-Lücken machen einmal mehr schmerzhaft deutlich, dass fehlende Updates das größte Problem in Sachen Android-Security sind.

Samsung und Google führen Patch-Day ein

Trotzdem zeigt sich Drake vorsichtig optimistisch. Samsung und Google haben gerade angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Drakes Firma Zimperium hat kürzlich eine Organisation gegründet, die die Sicherheit im Android-Ökosystem verbessern möchte und in der zahlreiche Hersteller von Android-Geräten - darunter auch solche, die nicht offiziell von Google lizensiert sind - versammelt sind.

Einige Hintergrundinformationen zur Sicherheitslücke hat Drake heute im Blog von Zimperium veröffentlicht. Im Play-Store von Google findet man außerdem jetzt ein Test-Tool, mit dem man prüfen kann, ob das eigene Android-Gerät von Stagefright betroffen ist.


eye home zur Startseite
fuzzy 07. Aug 2015

Ich fasse kurz zusammen: Was du zitierst hast, hat überhaupt nix mit der Berechtigungs...

katzenpisse 07. Aug 2015

Bei all den Lücken in allen Systemen rege ich mich schon lange nicht mehr auf, sondern...

Hannilein13 07. Aug 2015

Danke für den Artikel. Wirklich lesenswert.

Jasmin26 06. Aug 2015

schon, nur wäre das dann in etwa so , wie wenn du dein auto nicht mehr betanks um die...

TC 06. Aug 2015

K Zoom, steh da doch ;) Es hat kein "richriges" Knox, aber geflaggt auf "custom" wirds...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Knauf Information Services GmbH, Iphofen (Raum Würzburg)
  3. Bite AG, Filderstadt
  4. T-Systems International GmbH, München, Leinfelden-Echterdingen, Berlin


Anzeige
Top-Angebote
  1. (u. a. 10€ Rabatt auf Game of Thrones, reduzierte Box-Sets und 2 Serien-Staffeln auf Blu-ray für...
  2. 189,00€ (Bestpreis!)
  3. 19,99€ (nur für Prime-Mitglieder)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Nokia 3, 5 und 6

    HMD Global bringt drei Nokia-Smartphones mit Android

  2. Moto G5 und Moto G5 Plus im Hands on

    Lenovos kompakte Mittelklasse ist zurück

  3. Handy-Klassiker

    HMD Global bringt das Nokia 3310 zurück

  4. Galaxy Tab S3 im Hands on

    Samsung präsentiert Oberklasse-Tablet mit Eingabestift

  5. Galaxy Book im Hands on

    Samsung bringt neuen 2-in-1-Computer

  6. Mobilfunk

    "5G muss weit mehr als LTE bieten"

  7. UHS-III

    Neuer (Micro-)SD-Karten-Standard schafft über 600 MByte/s

  8. Watch 2 im Hands on

    Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten

  9. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  10. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 600 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

  1. Re: Wechsel von Bing auf Google als Suchmaschine...

    ve2000 | 03:05

  2. Re: 50 Euro, hoffentlich nur UVP

    kaliberx | 02:51

  3. Re: Theoretischer vs. praktischer Wert

    ve2000 | 02:51

  4. Re: An alle die den Grund für das Verbot nicht...

    .LeChuck. | 02:33

  5. Re: An alle die den Grund für das Verbot nicht...

    Abseus | 02:33


  1. 21:13

  2. 20:32

  3. 20:15

  4. 19:00

  5. 19:00

  6. 18:45

  7. 18:10

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel