Stagefright: Wie schlimm ist die Android-Sicherheitslücke wirklich

Die Sicherheitslücken im Media-Framework Stagefright offenbaren die Schwäche des Android-Ökosystems. Die Update-Politik der Anbieter wird zur Gefahr.

Durch mehrere Lücken im Stagefright-Framework von Android sind Geräte mit dem mobilen Betriebssystem gefährdet. Die Sicherheitslücken betreffen die Android-Versionen 2.2 bis 5.1. Am leichtesten auszunutzen sind sie jedoch in Android-Versionen kleiner 4.1.

Eine manipulierte MMS genügt, um ein Gerät zu kompromittieren. Besonders kritisch ist die Angelegenheit, weil eine entsprechende Messenger-App in Kombination mit dem Media-Framework Stagefright die manipulierte MMS automatisch verarbeitet. So kann ein Angreifer Zugriff auf das Gerät erlangen. Wenn er die MMS anschließend gleich löscht, bemerkt der Smartphone-Nutzer nichts von dem Angriff. Der Angreifer kann Kamera und Mikrofon übernehmen oder auf persönliche Daten des Besitzers zugreifen. Details zur Funktionsweise von Stagefright finden sie hier.

Die sieben Schwachstellen in der Stagefright-Schnittstelle tragen die offiziellen Bezeichnungen:
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
Mehr Infos zum CVE-Identifier finden Sie hier.

Schlimmer als Heartbleed

Die Firma Zimperium als Entdecker vergleicht die Stagefright-Schwachstellen mit Heartbleed und stuft sie nur als wesentlich schlimmer ein. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Sicherheitswarnung für Android-Smartphones herausgegeben.

Labs kommentiert: „Der Android-Bug befindet sich an einer schwierigen Stelle im Betriebssystem. Ursprünglich war MMS so gedacht, dass der Anwender im ersten Schritt nur den Text sieht und erst nach manueller Anforderung die Angänge geladen werden. Aber die SMS/MMS Apps in Android 4.4 und 5.x sind als Standard so konfiguriert, dass es alle MMS Inhalte, also auch die Anhänge, automatisch im Hintergrund lädt. Damit sind Schadprogrammen Tür und Tor geöffnet. Der Bug, den Zimperium gefunden hat, erlaubt unglücklicherweise auch Shellcode, also ausführbare Programme, die als harmlose Multimedia-Daten getarnt sind. Diese können beispielsweise die Kontrolle über das Mobilgerät übernehmen, sobald die MMS geladen ist. Zimperium geht davon aus, dass weltweit rund 950.000.000 Geräte gefährdet sind“.

Der Sicherheitsanbieter Trend Micro hat festgestellt, dass sich die Lücken nicht nur über MMS-Nachrichten, sondern auch über speziell präparierte Websites und Apps ausnutzen lassen. Die Trend Micro-Forscher haben dazu eine spezielle MP4-Datei gebaut und diese sowohl in eine App als auch eine HTML-Datei eingebettet. Auch in diesen Szenarien können Angreifer im schlimmsten Fall die Kontrolle über das infizierte Android-Gerät übernehmen. Die Nutzer müssen dafür nur eine entsprechend präparierte App – zum Beispiel aus dem Android-Store eines Drittanbieters – installieren oder eine bösartige Webseite aufrufen – zum Beispiel über einen Link in einer gefälschten E-Mail.

Laut Trend Micro ist der Mediaserver-Service nicht in der Lage, deformierte Videodateien, die den Matroska-Container nutzen und üblicherweise die Dateierweiterung .mkv aufweisen, korrekt zu verarbeiten. In einem weiteren Proof-of-Concept hat Trend Micro mittels einer deformierten MKV-Datei das Schadenspotenzial aufgezeigt:

  • Das Gerät gibt keinen Klingelton und keinerlei Tonsignal mehr von sich. Telefonanrufe können nicht mehr entgegengenommen werden, da kein Gesprächspartner mehr den anderen hören kann.
  • Die Antwortzeiten des berührungsempfindlichen Bildschirms werden sehr lang oder aber der Bildschirm reagiert überhaupt nicht mehr. Befindet sich das Gerät im Sperrmodus, kann es nicht mehr entsperrt werden.

„Das Schadenspotenzial Sicherheitslücke ist groß, auch wenn Google das nicht so sieht, sondern als Problem niedriger Priorität einstuft“, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsunternehmen Trend Micro. „Die Lücke könnte für Online-Betrüger, die mit Erpressersoftware arbeiten, eine Goldgrube werden.“

„Bei solchen Angriffen verfolgen Hacker immer dasselbe Ziel: an möglichst viele Passwörter zu gelangen“, sagt Michael Rudrich, Regional Sales Director EMEA East beim Identity-Management- Spezialisten Centrify. „Passwörter sind der Schlüssel zu unserer Identität und unserem Geld. Daher erfinden Hacker ständig neue Wege, um Passwörter zu stehlen – auch von Smartphones und Tablets.

Wie kann man sich schützen?

Rudrich empfiehlt: „Bis ein Patch die Sicherheitslücke schließt, sollten Nutzer drei Schritte unternehmen, um sich vor einem Angriff zu schützen: Den automatischen Download von MMS-Inhalten abstellen und MMS von unbekannten Sendern ignorieren. Wird ein Patch bereitgestellt, sollten sie diesen so schnell wie möglich installieren. Wenn die richtigen Schritte unternommen werden, können solche Gefahren gebannt werden.“

Sophos gibt folgende Ratschläge:

  • Beim Hersteller des Mobilgerätes nach einem Patch fragen
  • Sollte noch kein Patch zur Verfügung stehen, fragen wann dieser kommen wird
  • Sollte es die Messaging-App ermöglichen, sollte der automatische Download von MMS Nachrichten ausgeschaltet werden
  • Sollte es das Mobilgerät erlauben, sollten Nachrichten von unbekannten Absendern automatisch blockiert werden
  • Wenn die SMS/MMS-App es nicht erlaubt den automatischen Empfang von Nachrichten abzuschalten, sollte das Android Messaging genutzt werden was diese Einstellung erlaubt.

Fazit

Die Sicherheitslücken im Stagefright-Framework sind sehr kritisch. Der Ratschlag „Fragen Sie den Gerätehersteller nach einem Patch“ klingt angesichts der Update-Politik der Hersteller allerdings wie Hohn. Google hat die Schwachstellen im Android-Source-Code zwar geschlossen, ob aber die Gerätehersteller und Mobilfunkanbieter entsprechende Updates vor allem für ältere Geräte zur Verfügung stellen, darf bezweifelt werden.

Trey Ford, Global Security Strategist bei Rapid7 findet deutliche Worte: „Der Stagefright-Bug veranschaulicht ganz deutlich einige der wichtigsten Probleme mit dem Android-Ökosystem. Das Konzept, Hardware zu kaufen, auf der nicht patch-fähige Software ohne Support läuft, ist aus Sicherheitsperspektive schlicht beunruhigend – und die Verbraucher nehmen diese Realität nicht wahr. Es geht hier nicht nur um eine beängstigende Sicherheitslücke. Stagefright verdeutlich auch, wie abhängig wir von Programmiercode geworden sind; und wie ignorant, uninformiert und unfähig wir sind, uns zu schützen, vor allem, wenn die Anbieter sich nicht um neue Schwachstellen kümmern.“

Dass es auch anders geht, beweisen die Entwickler von CyanogenMod. Die Anbieter von Custom-ROMs für populäre Android-Geräte haben ihre Software bereits entsprechend aktualisiert. Zum Surfen sollten Sie außerdem eine aktuelle Firefox-Version bevorzugt nutzen, denn auch Mozilla hat schon reagiert.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close