Dipl.-Inform. Carsten Eilers

...haben einen etwas unglücklichen Namen bekommen. Ich weiß nicht, wer auf die Idee gekommen ist, die Schwachstellen nach der betroffenen Komponente zu benennen, aber er sollte mal im Lexikon seines geringsten Misstrauens unter "Bärendienst" nachschlagen. Ich gebe zu, dass das aus Marketing-Sicht ein wirklich sehr guter Name für die Schwachstellen ist, aber: Auch wenn diese "Stagefright"-Schwachstellen behoben wurden dürfte es in Stagefright noch weitere Schwachstellen geben. Wenn dann später aber zu lesen ist, dass die "Stagefright"-Schwachstellen 2015 bereits behoben wurden könnte das zu Verwechselungen führen. Weshalb es wichtig ist, immer auch die CVE-IDs zu berücksichtigen!

Aber kommen wir zu den Schwachstellen: Pufferüberläufe beim Verarbeiten verschiedener Multimedia-Formate erlauben die Ausführung eingeschleusten Codes. Die präparierten Mediadaten können zum Beispiel per MMS an das Gerät gesendet werden, so dass ein Angriff zum Teil ohne Benutzerinteraktion möglich ist. Der reine Empfang der MMS und ihre automatische Verarbeitung reichen aus, um den Exploit aktiv werden zu lassen. Auf anderen Geräten reicht es, wenn die MMS geöffnet wird.

Im Kontext von Stagefright ausgeführter Code hat automatisch Zugriff auf Kamera, DRM, Internet und Bluetooth, ein infiziertes Gerät kann also zum Beispiel verwendet werden, um den Benutzer zu überwachen.

Betroffen sind die Android-Versionen von Version 2.2 bis hin zur aktuellen Version 5.1.1 (Lollipop). Die ab Android 4.1 implementierten Schutzmaßnahmen stoppen bzw. behindern einen Teil der Angriffe, aber nicht alle.

Details werden am 5. August auf der Black Hat USA 2015 vorgestellt: "Stagefright: Scary Code in the Heart of Android".

Den Schwachstellen wurden folgende CVE-IDs zugewiesen:

• CVE-2015-1538
• CVE-2015-1539
• CVE-2015-3824 - Diese Schwachstelle beim Verarbeiten von MP4-Dateien wurde parallel von Trend Micro entdeckt und ausführlich beschrieben. Es handelt sich um die Schwachstelle, die über präparierte MMS ausgenutzt werden kann. Wird die Datei vom Mediaserver geöffnet, kommt es beim Parsen von tx3g-geflaggten Daten zu einem Heap-Überlauf, über den Code ausgeführt werden kann. Außer über MMS kann die Schwachstelle auch über Apps oder MP4-Dateien auf Webservern ausgenutzt werden.
• CVE-2015-3826
• CVE-2015-3827
• CVE-2015-3828
• CVE-2015-3829

Bisher sind die Einträge in der CVE-Datenbank noch leer, ich werde die Auflistung erweitern, wenn weitere Informationen bekannt sind.

Es gibt bereits eine chinesische Beschreibung einer der Schwachstellen samt ersten Schritten zur Entwicklung eines Exploits. Hier geht es zur englischen Übersetzung via Google Translate. Die deutsche Version eignet sich höchstens als Vorlage für einen Comedy-Auftritt. Oder vielleicht auch als Rezept für ein "einfach gegrilltes Steak"?

Laut einem Forbes-Artikel enthält die Exploit-Sammlung VulnDisco Exploits für zwei der Schwachstellen, die von den VulnDisco-Entwicklern unabhängig von Zimperium entdeckt wurden.

Angriffe laufen angeblich bereits - So können Sie sich teilweise schützen

Zimperium berichtet, dass die Schwachstellen wahrscheinlich bereits "in the wild" ausgenutzt werden und schlägt folgende Schutzmaßnahmen vor:

• Installieren Sie die aktuellste Android-Version für Ihr Gerät, sofern es eine fehlerbereinigte Version gibt. Google hat zwar bereits Patches (für ESDS-Daten, MP4-Daten und verschiedene andere) veröffentlicht, erfahrungsgemäß dauert es aber einige Zeit, bis die an alle Geräte angepasst und verteilt werden (und viele Geräte gehen gleich leer aus).
  Ist für Ihr Gerät kein Update verfügbar und auch nicht zu erwarten, können Sie ein anderes Betriebssystem wie CyanogenMod installieren, dass ältere Geräte länger unterstützt als Google und die jeweiligen Gerätehersteller.
• Schalten Sie das automatische Holen von MMS aus, das muss zumindest sowohl für Hangout als auch für reguläre MMS (ab Android 5.0 über Googles Messenger) separat erfolgen.

Das Ausschalten der MMS schützt natürlich nicht vor einem Angriff mit einer bösartigen App (passen Sie also auf, was Sie installieren) oder präparierte Webseiten (sobald es Angriffe gibt sollten Sie mit Android-Geräten das Web meiden wie ein Schneemann das Feuer!).

Bruce Schneier hält einen Wurm für möglich, der ein Gerät infiziert und sich danach an jeden Eintrag im Adressbuch des Opfers schickt.

Google unterschätzt die Gefahr?

Google hat die Schwachstelle bisher immer herunter gespielt und zum Beispiel von "unter Laborbedingungen auf alten Geräten entdeckt", "niemand ist betroffen" und ähnlichem gesprochen und verweist auch immer wieder auf die Mitigations in den neueren Android-Versionen.

Ich hoffe, die haben sich damit nicht selbst ins Knie geschossen, denn so, wie die tun, sind die Patches ja gar nicht so dringend. Was sie aber sind, denn es gibt ja PoCs für aktuelle Systeme, und dass sich Mitigations unterlaufen lassen sollte man bei Google eigentlich auch schon mal gehört haben.

Was will Google tun, wenn die Schwachstellen im großen Maßstab über präparierte Webseiten ausgenutzt wird? Dann hilft das Ausschalten der MMS nicht mehr, und wie gut Drive-by-Infektionen funktionieren haben die Cyberkriminellen ja für Windows bereits bewiesen.

Die DoS-Schwachstelle

Die von Trend Micro entdeckte DoS-Schwachstelle betrifft Android von Version 4.3 bis zur aktuellen Version 5.1.1 (Lollipop) und kann entweder von einer bösartigen App oder einer präparierte Webseite ausgenutzt werden.

Beim Verarbeiten eines präparierten Matroska-Containers kommt es zu einem Absturz, nach dem das Gerät nahezu komplett lahm gelegt ist. Es gibt keine Töne mehr von sich, so dass weder Anrufe noch eingehende Nachrichten oder Alarme signalisiert werden. Die Benutzeroberfläche reagiert nur noch verzögert oder gar nicht mehr, ein gesperrtes Telefon kann nicht mehr entsperrt werden.

Ein lahm gelegtes Gerät kann durch einen Reboot, im Fall einer bösartigen App im "safe mode", wieder zum Leben erweckt werden.

Eine CVE-ID ist bisher nicht bekannt.

Google hat die Schwachstelle bestätigt, ein Patch ist noch nicht verfügbar.

Carsten Eilers