Im vergangenen Sommer erschütterte eine Serie kritischer Sicherheitslücken in der libstagefright die Android-Welt. Über eine simple MMS oder ein in eine Webseite eingebettetes Video können dadurch Angreifer theoretisch auf ein Android-Gerät einbrechen und private Daten der User ausspionieren. Was folgten war monatelange Diskussionen und so manche scharfe Kritik an Google.

Update-Zyklus

Was hingegen bis dato ausblieb, sind Angriffe, die sich diese und all die in den Folgemonaten aufgedeckten weiteren Fehler im Mediaserver von Android zunutze gemacht haben. Trotzdem hat die Diskussion über die libstagefright-Lücken einiges in Bewegung gebracht, hat Google doch infolge einen monatlichen Rhythmus für das Beseitigen von Sicherheitslücken eingeführt, dem sich mittlerweile auch so manche Dritthersteller angeschlossen haben. Doch dabei will man es nicht belassen, wie Google nun betont.

Umbauten

In einem aktuellen Blogposting kündigt das Android Security Team einen grundlegenden Umbau am Mediaserver des eigenen Betriebssystems an. Für das kommende Android N wird dieser in mehrere Komponenten aufgesplittet, die die unterschiedlichen Aufgaben mittels Sandbox von einander getrennt erledigen sollen.

Reduktion

Mit der Aufteilung erhält jede Einzelkomponente nur die absolut notwendigen Berechtigungen, so hat etwa lediglich der CameraServer Zugriff auf die Kamera, dem AudioServer ist es vorbehalten auf Bluetooth-Verbindungen zuzugreifen. Dies ist ein deutlicher Fortschritt zum Status Quo: Wer bisher eine Lücke im Mediaserver fand, hatte damit Zugriff auf zahlreiche sensible Komponenten, von der Kamera über das Mikrofon bis zur Grafikausgabe.

Parsing

Der Großteil aller bisher bekannt gewordenen Stagefright-Lücken befand sich beim Parsen von Dateiformaten und Codecs, auch dieses wird nun in einen eigenen Dienst – den MediaCodeService – gepackt, der lediglich Zugriff auf die GPU hat. Zugriff auf Kamera oder Mikrofon würde man mit solch einem Einbruch also nicht mehr erhalten.

Compiler härten

Zusätzlich härtet Google für Android N die für die Erstellung der Binärdateien genutzten Compiler-Flags. Dadurch soll die Ausnutzung von Integer Overflows – wie sie oft die Grundlage von libstagefright-Problemen bildeten – erheblich erschwert werden.

Laufendes Projekt

Google betont, dass es sich beim Umbau des Media Servers um ein laufendes Projekt handle, in Zukunft sollen die Berechtigungen der Einzelkomponenten weiter reduziert werden. Zudem sollen ähnliche Techniken auch auf andere Android-Komponenten angewandt werden, um diese ebenfalls besser vor Angriffen schützen zu können. (Andreas Proschofsky, 6.5.2016)