"Stagefright" - Die Mutter aller Android-Lücken

Android
AndroidBloomberg

Hacker können durch speziell präparierte MMS-Nachrichten die Kontrolle über fremde Smartphones übernehmen. Betroffen ist vor allem die Version 4.0.

Eine schwerwiegende Sicherheitslücke in Googles Android-Betriebssystem ermöglicht es Hackern, durch speziell präparierte MMS-Nachrichten die Kontrolle über fremde Smartphones zu übernehmen. Betroffen sind in erster Linie Geräte, auf denen Android ab Version 4.0 oder älter läuft, was neun Prozent aller Android-Telefone oder ungefähr 90 Millionen aktivierten Geräten entspricht. Doch die Lücke findet sich in weniger gravierender Form in fast allen Android-Geräten und das entspricht ungefähr 950 Millionen Smartphones und Tablets. Dies hatte kürzlich der US-amerikanische Security-Experte Joshua Drake, Forscher beim kalifornischen Sicherheitsunternehmen Zimperium, bekanntgegeben.

Nun hielt Drake im Rahmen der „Black Hat Briefings“ in Las Vegas, einer der weltweit größten Konferenzen für IT-Security, eine detaillierte Präsentation über seine Erkenntnisse – inklusive einer Live-Demonstration des Angriffs. Die insgesamt sieben miteinander verwandten Sicherheitslücken befinden sich in einer Softwarekomponente namens „Stagefright“ (dt. „Lampenfieber“), die von Android zur Verarbeitung und Anzeige von Video- und Bilddateien verwendet wird, so Drake, Co-Autor des „Android Hacker's Handbook“.

(c) Google

Wie es funktioniert

 

Schickt ein Angreifer eine speziell veränderte Videodatei an sein Opfer, wird das betroffene Smartphone veranlasst, bösartigen Programmcode auszuführen. Die Schadsoftware ist in diesem Fall berechtigt, Fotos von der SD-Karte auszulesen oder über Kamera und Mikrofon Bild und Ton aufzunehmen. Auf vereinzelten älteren Geräten – etwa dem Samsung Galaxy S4 – stellt sich die Situation sogar noch deutlich gravierender dar, da Stagefright dort mit Systemberechtigungen läuft, sodass der Hacker fast alle Komponenten des Smartphones kontrollieren kann.

Video muss nicht abgespielt werden

Aufgrund der Funktionsweise von Stagefright ist es nicht notwendig, dass das Video tatsächlich abgespielt wird. Bei Verwendung der Android-Standardanwendung Messenger genügt es, die entsprechende MMS zu öffnen, um den Angriff auszulösen. Benutzt man gar die alternative App Google Hangouts, so liest Stagefright den Schadcode bereits, wenn eine Nachricht erstmals empfangen wird. Sekundäre Angriffsmöglichkeiten bei denen die Anhänge aber geöffnet werden müssen, ergeben sich durch Videodateien, die über das Internet, per E-Mail, via Bluetooth oder auch NFC versendet werden, warnte Drake in seiner Präsentation.

Technischer Hintergrund der Attacke ist eine sogenannte Buffer-Overflow-Schwachstelle, bei der ein Hacker sensible Speicherbereiche mit eigenen Maschinenanweisungen überschreibt. Dank einer Sicherheitsmaßnahme namens Address Space Layout Randomization (ASLR) muss der Angreifer jedoch auf neueren Android-Versionen (ab 4.1) gewisse Speicheradressen erraten, um die Schadsoftware zu installieren – damit funktioniert der Exploit nur noch in Ausnahmefällen, wenngleich er trotzdem prinzipiell möglich bleibt.

90 Tage vor Veröffentlichung informiert

Die Aufdeckung der Stagefright-Lücke demonstriert auf schmerzhafte Weise das im Android-Ökosystem lange bestehende Problem, dass sicherheitsrelevante Updates nur langsam zum Endnutzer durchsickern. Exploit-Entdecker Drake hatte Google bereits im April – 90 Tage vor Veröffentlichung – über die Probleme informiert und selbst Patches zur Verfügung gestellt, um die Schwachstellen zu reparieren.

Die vorgeschlagenen Änderungen wurden von Google prompt akzeptiert, doch für die tatsächliche Auslieferung des Updates an hunderte Millionen von Nutzern sind die einzelnen Smartphone-Hersteller zuständig. Diese müssen das Update in die in vielen Fällen adaptierte Software einbauen. Sobald dies passiert ist, geht es zurück an Google um abgesegnet zu werden. Der nächste Schritt sind dann Telekom-Unternehmen, die die Geräte vor Verkauf ebenfalls mit eigener Zusatzsoftware bespielen und somit auch das Update einspielen müssen und kontrollieren müssen – eine Praxis, die vielen Kunden ohnehin sauer aufstößt. Den direkten Weg wie bei Apple gibt es nicht und genau das ist auch das Problem.

Es besteht allerdings die Hoffnung, dass der große mediale Druck durch die Stagefright-Veröffentlichung den Verantwortlichen die Augen geöffnet hat. So gaben am Mittwoch mit Google und Samsung gleich zwei namhafte Hersteller bekannt, ihre eigenen Geräte ab sofort mit monatlichen Sicherheitsupdates versorgen zu wollen. Auch HTC, LG und Sony veröffentlichen immerhin jeweils eine Liste von Modellen, die noch im August gegen die ein entsprechendes Update erhalten sollen. Trotzdem empfehlen Experten allen Android-Nutzern, auf ihren Smartphones das automatische Empfangen von MMS in den Einstellungen ihrer Nachrichten-App (Messenger bzw. Hangouts) bis auf Weiteres zu deaktivieren.

Deutsche Telekom hat bereits reagiert

Der deutsche Mobilfunkanbieter hat auf die Lücke bereits reagiert und den automatischen Download von MMS gestoppt. Telekom-Kunden erhalten künftig eine SMS. Der Inhalt der MMS kann dann heruntergeladen werden. Prinzipiell empfiehlt es sich Inhalte nur von bekannten Absendern zu öffnen.