Android: Hunderte Millionen Nutzer von Sicherheitslücke bedroht

27. Juli 2015, 18:43
225 Postings

Angreifer könnten über MMS unbemerkt in Smartphone einbrechen und User ausspionieren

Wenn das stimmt, was die Forscher von Zimperium behaupten, könnte Android vor dem schlimmsten Sicherheitsproblem seiner Geschichte stehen. Eine Reihe von Lücken im Stagefright Media Framework erlaubt es potenziell, von außen unbemerkt auf Android-Geräte zuzugreifen und deren Nutzer auszuspionieren.

Unbemerkter Einbruch

Wie Joshua Drake, Vizepräsident bei den Zimperium zLabs in einem Blogeintrag betont, reicht eine manipulierte MMS, um auf einem betroffenen Gerät einzubrechen. Ist dazu noch Googles eigene Hangouts-App als SMS/MMS-Default-Anwendungen definiert, muss die MMS nicht einmal betrachtet werden, da hier die Bilder vom Media Framework automatisch verarbeitet und indiziert werden. In diesem Szenario könnte also ein Angreifer eine Nachricht in der Nacht schicken, auf das Gerät einbrechen, und anschließend die MMS wieder löschen, um seine Spuren zu verwischen.

Betrachtungsweise

Bei anderen Messenger-Apps ist die Situation allerdings kaum besser, hier reicht das reine Betrachten eines entsprechend manipulierten Bildes aus. Da es um grundlegende Bugs im Media Framework von Android geht, könnte so ein Bild natürlich auch über Mail oder einen anderen Weg auf das Gerät kommen.

Möglichkeiten

Einmal auf dem Gerät gelandet, könnte das manipulierte Bild durch den Angreifer unter anderem die Kameras und das Mikrofon aktivieren, betont Drake. Auch der Zugriff auf abgespeicherte Fotos sei mit den Rechten des Stagefright-Prozesses kein Problem. In einigen Fällen sei die Situation sogar noch schlimmer, da Dritthersteller wieder einmal zusätzliche Sicherheitsprobleme erzeugt haben. So laufe Stagefright etwa auf dem Samsung Galaxy S4 mit Systemrechten – ein Hack resultiert hier also in praktisch unbeschränkte Zugriffsrechte.

Fast alle Android-Geräte?

Konkrete Details will Drake derzeit noch nicht nennen, diese sollen im Rahmen der Black-Hat-Sicherheitskonferenz in einigen Wochen folgen. Aus den diversen Interviews, die er US-Medien mittlerweile gegeben hat, lässt sich aber einiges zusammenreimen. So schätzt der Sicherheitsforscher, dass derzeit rund 950 Millionen Android-Geräte von dem Problem betroffen sind – und damit fast alle.

Diese Zahl ergibt sich offenbar daraus, dass die entsprechenden Lücken in den Android-Versionen 2.2 bis 5.1.1 zu finden sind. Was die letzte Version betrifft, gibt es allerdings Einschränkungen: Bei einzelnen Nexus-Geräten – etwa dem Nexus 6 – sollen die zentralen Bugs in aktuellen Builds nicht mehr zu finden sein. Beim Nexus 5 lassen sie sich laut dem Sicherheitsunternehmen hingegen auch in Android 5.1.1 noch ausnutzen.

Entwicklung

Zimperium hat Google nach eigenen Angaben Anfang Mai über das Problem informiert. Der Android-Hersteller habe die Lücken umgehend im Android Open Source Project geschlossen und Patches an Dritthersteller geschickt. Ob diese bereits entsprechende Fixes in aktuelle Updates einfließen haben lassen, ist allerdings unklar. Hier zeigt sich einmal mehr die Gefährdung, die durch die Verfahrenheit der Android-Update-Situation entsteht.

Einschränkende Faktoren

Wie realistisch so ein Angriff ist, hängt nicht zuletzt davon ab, welche Android-Version die Nutzer konkret auf ihrem Gerät haben. Hat doch Google ab Android 4.1 Jelly Bean eine Reihe von Maßnahmen eingeführt, die den erfolgreichen Exploit von Sicherheitslücken deutlich erschweren. Gegenüber dem WebStandard bestätigt Drake denn auch, dass dieser Faktor eine wichtige Rolle spielt. Die Lücke lasse sich zwar in allen Versionen triggern, es könnte aber jemandem "ein kleines Vermögen kosten", bis er unter aktuellen Android-Releases erfolgreich ist.

Andere Wege?

Abzuwarten bleibt auch, wie es mit anderen Angriffsvektoren aussieht, theoretisch wäre sogar ein Angriff über ein in einer Webseite eingebautes Bild denkbar, immerhin nutzen Android-Browser auch das Stagefright-Framework. Aber auch hier muss sich erst zeigen, wie zuverlässig dies für eine Attacke genutzt werden kann.

Google reagiert

Bei Google scheint man die reale Gefährdung jedenfalls nicht ganz so hoch anzusehen wie Drake selbst, und vergibt "nur" die Warnstufe "hoch" statt "kritisch". In einem Statement weist das Unternehmen zudem noch einmal auf die Anti-Exploit-Maßnahmen hin, die bei aktuellen Android-Geräten enthalten sind.

Auf ewig gefährdet

Selbst mit dieser Einschränkung ist die Situation allerdings noch immer schlimm genug: Älter als Android 4.1 sind immerhin rund elf Prozent aller im Umlauf befindlichen Android-Geräte – und das sind mehr als 100 Millionen Devices, die nur darauf warten, übernommen zu werden. Gerade bei solch alten Softwareversionen ist auch kaum zu erwarten, dass die Hersteller noch ein Update nachliefern.

Ausnahmen

Lobend erwähnt Zimperium hingegen explizit SilentCircle, die für ihr Blackphone die Bugs bereits mit der Version 1.1.7 der eigenen Android-Variante PrivatOS geschlossen haben. Auch Mozilla hat mit dem Firefox 38 die entsprechenden Patches einfließen lassen. (Andreas Proschofsky, 27.7.2015)

Update: Artikel mit weiteren Infos zur Gefährdung unter Android 4.1+ erweitert.

Link

Blogeintrag von Zimperium

Zum Thema

Android: Google muss endlich bei Updates durchgreifen

  • Gefahr für Androiden.
    foto: andreas proschofsky / standard

    Gefahr für Androiden.

Share if you care.