Software::Android
Android Stagefright: Fast eine Milliarde Geräte potenziell verwundbar
Nach Untersuchungen des Sicherheitsforschers Joshua Drake sind rund 950 Millionen Android-Geräte durch zu hohe Privilegien für die Stagefright-Engine möglichen Angriffen ausgesetzt.
android.com
Stagefright ist für das Abspielen und Streamen von Medien auf Android-Geräten zuständig. Stagefright hat zu viele Privilegien. So kann Stagefright bei einigen älteren Android-Versionen auf die System-Gruppe zugreifen, was Rootrechten sehr nahe kommt. Zudem kann Stagefright Verbindung mit dem Internet aufnehmen. Die exzessiven Rechte braucht Stagefright vermutlich, um verschiedene Erfordernisse des Digital Rights Management (DRM) von Medien wie MPEG4-Dateien zu erfüllen. Soweit die
Erkenntnisse von Joshua J. Drake von Zimperium zLabs, die er nächste Woche auf den Sicherheitskonferenzen Black Hat USA und DEFCON 23 präsentieren wird.
Gefährdet durch diese Lücke, für deren Ausnutzung lediglich die Telefonnummer des Teilnehmers bekannt sein muss, sind alle Android-Geräte seit einschließlich Android 2.2. Besonders gefährdet sind Versionen älter als »Jelly Bean« 4.2, da »Ice Cream Sandwich« und »Gingerbread« Schutzmaßnahmen fehlen, die erst später von Google eingebaut wurden. Um die Lücke zu schließen, sind aber Over-the-air-Updates (OTA) notwendig. Wann und wie diese erfolgen werden, ist unbekannt, es darf zudem laut Drake bezweifelt werden, dass damit jemals alle Geräte erreicht werden können.
Die Ausnutzung der Lücke kann mit einer an das Smartphone gesendeten präparierten MMS oder Google-Hangouts-Nachricht ohne weiteres Zutun seitens des Besitzers eingeleitet werden. Dies gewährt unerlaubten Zugriff auf das Gerät und ermöglicht unter anderem die Überwachung sämtlicher Kommunikation. Die MMS kann gelöscht werden, sobald der Zugriff besteht, was eine Entdeckung enorm erschwert. Drake erklärt es zudem als recht einfach, durch den Zugriff auf die Systemgruppe auch Rootrechte auf dem Smartphone zu erlangen.
Insgesamt sieben Lücken, die die Ausführung von Code erlauben, hat Drake bei näherer Untersuchung der Stagefright-Engine gefunden. Ihnen sind die CVE-Nummern CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829 zugewiesen worden. Mozilla hat in Firefox OS, das ebenfalls Stagefright einsetzt, die Lücke bereits geschlossen. Gleiches gilt für das Blackphone von Silent Circle.
){kind=logo}
