Abo
  • Services:

Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen

Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates.

Artikel veröffentlicht am , Hanno Böck
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist.
Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium)

Der IT-Sicherheitsforscher Joshua Drake hat auf der Black-Hat-Konferenz in Las Vegas Details zu zahlreichen Stagefright-Sicherheitslücken in Android präsentiert. Stagefright ist für die Verarbeitung von Mediadateien auf Android-Systemen zuständig. Schon vorab waren einige Informationen über die Lücke bekanntgeworden, etwa dass sie sich über MMS-Nachrichten ausnutzen lässt.

Stagefright seit Android 2.3 Standard

Stellenmarkt
  1. Auvesy GmbH, Landau in der Pfalz
  2. AKDB, Regensburg

Der Stagefright-Code enthält Parser und Decoder für zahlreiche Audio- und Videoformate und ist seit Android Gingerbread (2.3) die Standardbibliothek zum Verarbeiten von Mediadateien. Drake ist nicht der erste, der sich die Stagefright-Bibliothek angesehen hat. Ein Team um den Intel-Entwickler Alexandru Blanda hatte im März auf dem Android Builders Summit ein Fuzzing-Tool für Stagefright vorgestellt, mit dem er zahlreiche Sicherheitslücken gefunden hatte.

Die Stagefright-Bibliothek wird vom Mediaserver-Prozess genutzt, der permanent im Hintergrund auf Android-Geräten läuft. Drake untersuchte auf zahlreichen Android-Geräten, welche Rechte dieser Prozess besitzt. Dabei gab es deutliche Unterschiede zwischen Android-Varianten verschiedener Hersteller, aber auf nahezu der Hälfte aller Geräte besaß der Mediaserver die Rechte der System-Gruppe. Damit lassen sich nahezu beliebig Manipulationen auf einem System durchführen, es können etwa Apps installiert und deren Rechte verändert werden.

MMS-Nachrichten nur einer von vielen Angriffsvektoren

Joshua Drake suchte den Android-Code systematisch nach Stellen ab, in denen der Mediaserver aufgerufen wird. So werden beispielsweise HTML5-Videos mittels des Mediaservers abgespielt. Überraschenderweise wird der Mediaserver auch nach einem automatischen Download einer Datei aufgerufen, denn es wird ein Thumbnail-Bild für die Mediengallerie erstellt. Insgesamt fand Drake elf verschiedene Möglichkeiten, einem Opfer Mediendateien unterzuschieben, die von Stagefright verarbeitet werden, darunter beispielsweise der Austausch von Visitenkarten über NFC oder gesendete Dateien über Bluetooth. Der interessanteste Angriffsvektor waren jedoch MMS-Nachrichten.

Auf aktuellen Android-Systemen kommt als MMS-App Google Hangouts zum Einsatz. Sobald eine MMS-Nachricht eingeht werden angehängte Videos vom Stagefright-Code verarbeitet. Theoretisch wäre es damit sogar möglich, zu verhindern, dass überhaupt der Eingang der MMS-Nachricht angezeigt wird, denn schon vorher könnte ein Exploit Code ausführen. Drake erwähnte, dass er zahlreiche weitere mögliche Angriffsvektoren nicht getestet hat. So wisse er beispielsweise nicht, ob Nachrichten über Whatsapp oder den Facebook-Messenger betroffen sind.

Um Sicherheitslücken im Stragefight-Code zu finden entwickelte Drake zunächst ein simples Fuzzing-Tool ohne viel Intelligenz, welches Stagefright mit fehlerhaften MP4-Dateien testete. Dabei traten etwa 20 Abstürze auf, die jedoch alle nicht sicherheitskritisch waren. Doch Drake schaute sich die jeweiligen Codestellen an und fand dabei weitere Bugs. Diese erwiesen sich als Sicherheitslücken und erhielten die Ids CVE-2015-1538 und CVE-2015-1539.

Weitere Lücken fand Drake, nachdem er statt seines selbst entwickelten Fuzzers das Tool American Fuzzy Lop von Google-Entwickler Michal Zalewski einsetzte. Sechs weiter Sicherheitslücken traten danach zu Tage. Um American Fuzzy Lop einzusetzen musste Drake den Stagefright-Code zunächst auf Linux portieren.

Fehlerhafter Check verhindert Integer-Overflow nicht

Die kritischste und am einfachsten auszunutzende Lücke war ein relativ simpler Integer-Overflow. Interessant dabei: Bereits Mitte 2014 wurde in den entsprechenden Code ein Check eingefügt, der eigentlich Integer-Overflows verhindern sollte. Eine Berechnung, deren Ergebnis in einer 32-Bit-Variable Platz finden sollte, wurde zunächst in einer 64-Bit-Variable durchgeführt und anschließend geprüft, ob das Resultat nicht zu groß für eine 32-Bit-Variable ist. Doch hier zeigte sich eine Tücke von C: Wenn eine Berechnung durchgeführt wird, deren Eingaben 32-Bit-Variablen sind, so wird auch das Ergebnis zunächst als 32-Bit-Wert abgespeichert. Somit war der Integer-Overflow trotz Check weiterhin vorhanden. Durch die fehlerhafte Berechnung kam es zu einer Heap-Corruption-Lücke.

Um die Ausnutzung derartiger Memory-Corruption-Lücken zu erschweren hat Android einige Mechanismen implementiert. Doch die meisten davon greifen laut Drake nicht. Sogenannte Stack Canaries spielen hier keine Rolle, da es sich um einen Fehler im Heap-Speicher handelt. Die Markierung von Speicher als Nicht-Ausführbarer Code (NX-Flag) lässt sich durch eine Methode namens Return-oriented-Programming (ROP) aushebeln. Die einzig wirkliche Hürde stellte die Speicherrandomisierung ASLR (Address Space Layout Randomization) dar.

ASLR erschwert Ausnutzung von Fehlern

ASLR wurde unter Android erst mit Version 4.0 eingeführt. Doch die ersten ASLR-Implementierungen waren unvollständig. Für Android 4.0 gelang es Drake daher, einen Exploit zu entwickeln. Die Aushebelung von ASLR unter neueren Android-Versionen ist laut Drake vermutlich ebenfalls möglich. Ein Problem dabei: Unter 32-Bit-Systemen bietet ASLR nur einen eingeschränkten Schutz, da die Speicherrandomisierung nur begrenzt viele mögliche Speicheradressen ausnutzen kann. In manchen Fällen kann ein Angreifer die möglichen Adressen schlicht durch einen Brute-Force-Angriff durchprobieren.

Die Veröffentlichung der Lücke gestaltete sich als kompliziert. Drake informierte Google im April und kurz darauf auch die Entwickler von Firefox. Firefox nutzt unter allen Systemen außer Linux ebenfalls die Stagefright-Bibliothek. Weiterhin informierte Drake zahlreiche Hersteller von Android-Geräten, unter anderem Blackphone. Google akzeptierte die von Drake bereitgestellten Patches innerhalb weniger Tage und pflegte sie in den intern verwalteten Android-Quellcode ein. Patches stehen jedoch selbst für Googles eigene Geräte erst seit einigen Tagen bereit.

Viele Geräte werden den Patch vermutlich nie erhalten. Bei den meisten Smartphone-Herstellern ist es üblich, dass Patches für das Betriebssystem nur relativ kurze Zeit bereitgestellt werden, alte Modelle werden nicht mehr unterstützt. Die Stagefright-Lücken machen einmal mehr schmerzhaft deutlich, dass fehlende Updates das größte Problem in Sachen Android-Security sind.

Samsung und Google führen Patch-Day ein

Trotzdem zeigt sich Drake vorsichtig optimistisch. Samsung und Google haben gerade angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Drakes Firma Zimperium hat kürzlich eine Organisation gegründet, die die Sicherheit im Android-Ökosystem verbessern möchte und in der zahlreiche Hersteller von Android-Geräten - darunter auch solche, die nicht offiziell von Google lizensiert sind - versammelt sind.

Einige Hintergrundinformationen zur Sicherheitslücke hat Drake heute im Blog von Zimperium veröffentlicht. Im Play-Store von Google findet man außerdem jetzt ein Test-Tool, mit dem man prüfen kann, ob das eigene Android-Gerät von Stagefright betroffen ist.



Anzeige
Top-Angebote
  1. 189€ (Vergleichspreis je nach Farbe ab 235€)
  2. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)
  3. 93,85€ (Bestpreis!)
  4. (u. a. Madden NFL 18 und Mass Effect: Andromeda PS4/XBO für je 15€, Gran Turismo Sport für...

fuzzy 07. Aug 2015

Ich fasse kurz zusammen: Was du zitierst hast, hat überhaupt nix mit der Berechtigungs...

katzenpisse 07. Aug 2015

Bei all den Lücken in allen Systemen rege ich mich schon lange nicht mehr auf, sondern...

Hannilein13 07. Aug 2015

Danke für den Artikel. Wirklich lesenswert.

Jasmin26 06. Aug 2015

schon, nur wäre das dann in etwa so , wie wenn du dein auto nicht mehr betanks um die...

TC 06. Aug 2015

K Zoom, steh da doch ;) Es hat kein "richriges" Knox, aber geflaggt auf "custom" wirds...


Folgen Sie uns
       


Lenovo Thinkpad X1 Carbon Gen6 - Test

Wir testen das Thinkpad X1 Carbon Gen6, das neue Business-Ultrabook von Lenovo. Erstmals verbaut der chinesische Hersteller ein HDR-Display und einen neuen Docking-Anschluss für die Ultra Docking Station.

Lenovo Thinkpad X1 Carbon Gen6 - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

    Hacker: Was ist eigentlich ein Exploit?
    Hacker
    Was ist eigentlich ein Exploit?

    In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
    Von Hauke Gierow

    1. IoT Foscam beseitigt Exploit-Kette in Kameras
    2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
    3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

      •  /