Rund zwei Monate nach den ersten Berichten über zahlreiche kritische Lücken in Androids Media-Framework Stagefright, gibt es weiter keine bekannten Angriffe gegen diese Lücke. Dies mag daran liegen, dass der bislang einzige bekannte Exploit nur auf sehr alten Android-Versionen funktioniert – und auch hier nicht ganz zuverlässig reagiert. Nun ändert sich die Situation aber vollständig, und zwar durch einen Akteur mit dem auf dieser Seite des Spielfelds wohl kaum jemand gerechnet hätte: Google selbst.

Project Zero

Das Project Zero-Team des Softwareherstellers beweist, dass man bei den eigenen Aktivitäten den Fokus keineswegs nur auf die Programme anderer Hersteller legt. In einem Blogeintrag beschreiben die Sicherheitsforscher im Detail, mit welchen Methoden man es geschafft hat, die unterschiedlichen Schutzmaßnahmen aktueller Android-Versionen auszutricksen – oder zumindest das durch sie aufgestellte Hindernis erheblich zu verkleinern. Das Ergebnis: Ein funktionstüchtiger Exploit für Android 5.x, der noch dazu aus der Ferne ausgenutzt werden kann.

Erfolgsquote, entscheidend

In den Tests auf einem Nexus 5 mit Android 5.1.1 funktioniert der Exploit im Schnitt jedes 256. Mal. Dies mag wenig klingen, reicht aber, um einen Angriff – mehr oder weniger – realistisch zu machen. So ließe sich eine minimale Datei, die sich als MP4-Video ausgibt, in eine Webseite einbetten, und der Bug einfach serienweise auslösen, betonen die Forscher. Ein konkretes Szenario wäre beispielsweise das Einbetten einer manipulierten Werbung in ein Webview, die die Attacke unbemerkt und laufend durchführen kann.

Beschränkungen

Die größte Hürde für Angreifer ist hier, die Nutzer lang genug auf der Seite zu halten: Immerhin stürzt bei jedem Angriffsversuch der Mediaserver-Prozess ab, und muss neu gestartet werden. Das benötigt auf dem Nexus 5 circa 5 Sekunden. Insofern ist eine erfolgreiche Attacke auch etwas Glückssache. In den Tests braucht es bis zu einem abgeschlossenen Exploit zwischen 30 Sekunden und einer Stunde. Die statistische Wahrscheinlichkeit liegt damit bei 4 Prozent in einer Minute. Nicht ausreichend, um ein Geräte gezielt – zuverlässig – zu übernehmen, für Massenattacken ist dies aber ein ausreichender Wert. Ist ein Einbruch einmal erfolgreich, kann ein Angreifer unterschiedliche Aktivitäten mit den Rechten des Mediaserver-Prozesses vornehmen, etwa Fotos am Geräte durchschauen oder auch Kamera und Mikrofon aktivieren.

Einschätzung

Trotzdem muss sich erst zeigen, wie tauglich dieser Angriff in der Realität ist. Die Beschreibung konzentriert sich auf die Einbettunge eines Exploits in ein Webview – dies bedeutet, dass der Nutzer zuerst dazu gebracht werden müsste, eine App zu installieren, die eine solche Webansicht auf eine manipulierte Webseite nutzt, was eine erhebliche Hürde darstellt. Im Chrome-Browser selbst, scheint der Exploit hingegen nicht ganz so einfach zu funktionieren, da Google bei diesem zusätzliche Hürden aufgestellt hat, wie sich aus eine Randbemerkung in dem Blogeintrag schließen lässt, auch wenn die Forscher hierzu keine Details nennen. Ein Angriff per MMS scheint angesichts der Zahl von benötigten Versuchen ohnehin unrealistisch – vor allem, da hier Videonachrichten von Googles Hangouts und Messenger mittlerweile nicht mehr automatisch verarbeitet werden. Besser geschützt dürften übrigens Geräte mit 64-Bit-Prozessor sein, da hier die Address space layout randomization (ASLR) von Android, die eigentlich solche Attacken verhindern sollte, deutlich besser funktioniert. Geräte mit solchen CPUs gibt es freilich unter Android noch relativ wenige.

Ausblick

Insofern darf man auf einen kommenden Blog-Eintrag von Project Zero gespannt sein, da wollen die Forscher nämlich über konkrete Angriffsszenarien sprechen. In einem Tweet spricht einer der Google-Forscher etwa von der Kombination mit einem Kernel-Exploit, worüber sich ein Angreifer vollständige Systemrechte verschaffen könnte.

Fast alle betroffen

Konkret haben sich die Forscher CVE-2015-3864 vorgenommen, dabei handelt es sich um jene Lücke in der libstagefright, die durch ein Versehen in der ersten Update-Runde von vielen Herstellern noch nicht geschlossen wurde. Google hat den eigenen Fehler mit dem September Patch-Day für seine Nexus-Geräte ausgebessert, die entsprechenden Aktualisierungen werden gerade an die noch unterstützen Smartphones und Tablets dieser Serie ausgeliefert.

Update-Druck erhöht

Wie es mit der Update-Situation für andere Geräte aussieht, ist derzeit reichlich undurchsichtig. Viele Hersteller haben zwar Stagefright-Updates versprochen, ob dabei auch schon die letzte Lücke geschlossen wurde, ist jedoch unklar. Dazu kommt die allgemeine Realität der Android-Update-Situation, und die heißt: Viele gefährdete Geräte werden wohl nie einen Bugfix für all die aktuellen Lücken erhalten. Sicher ist hingen eines: Mit dem neuen Exploit erhöht Google auch den Druck auf seine Partner, entsprechende Updates zu schnüren. (Andreas Proschofsky, 17.9.2015)