Update: Sicherheitslücken im Smartphone-Betriebssystem Android ("Stagefright 2.0")

5. Oktober 2015

Update 6. Oktober 2015, 7:30

Beschreibung

Das IT-Security Unternehmen Zimperium hat letzte Woche Informationen zu weiteren Sicherheitslücken im Smartphone-Betriebssystems Android bekannt gegeben. Diese können, je nach Situation, ausgenutzt werden, um beliebigen Code auf Android-Geräten auszuführen.

Details

In den Komponenten "libutils" sowie "libstagefright", welche unter Android (und etwa durch Hersteller und Mobilfunk-Anbieter angepassten Versionen) zur Darstellung von Multimedia-Inhalten benutzt werden, gibt es Sicherheitslücken. Diese können durch speziell präparierte MP3/MP4-Dateien ausgenutzt werden, um beliebigen Code auf betroffenen Geräten auszuführen.

Es ist dabei meist User-Interaktion (zB anklicken eines Links) nötig, dadurch kann in üblichen Konfigurationen die Lücke nicht vollautomatisiert ausgenutzt werden.

Momentan ist erst einer der Lücken eine CVE-Nummer zugeordnet: CVE-2015-6602 (libutils)

Update 6. Oktober 2015, 7:30
Google hat im Nexus Security Bulletin (Oktober 2015) eine Liste von zu diesen Problemen gehörenden CVE-Nummern veröffentlicht:
  • libutils: CVE-2015-3875, CVE-2015-6602
  • libstagefright: CVE-2015-3873, CVE-2015-3823, CVE-2015-6600, CVE-2015-6601, CVE-2015-3869, CVE-2015-3870, CVE-2015-3871, CVE-2015-3868, CVE-2015-6604, CVE-2015-3867, CVE-2015-6603, CVE-2015-3876, CVE-2015-6598, CVE-2015-3872, CVE-2015-6599

Auswirkungen

Prinzipiell ist damit zu rechnen, dass ein Angreifer durch Ausnutzen dieser Lücke die vollständige Kontrolle über Android-Geräte übernehmen kann.

Betroffene Systeme

Smartphones/Tablets mit Android

Laut den aktuell vorliegenden Informationen sind prinzipiell alle Geräte mit Android von Version 1.0 bis 5.x betroffen. Die Lücken können laut dem Post von Zimperium allerdings nur in Version 5.0 aufwärts gesichert für (Remote) Code Execution ausgenutzt werden - ob auch Versionen vor 5.0 ausnutzbar sind, hägt davon ab, ob lokal installierte Applikationen oder Hersteller-/Mobilfunk-Betreiber-spezifische Anpassungen die verwundbare Version von libutils benutzen.

Ob die neu angekündigte Version 6.0 ("Marshmallow") auch betroffen sein wird, ist momentan nicht bekannt.

Andere Systeme mit Android

Oft sind auch andere Geräte als Smartphones mit Android als Betriebssystem ausgestattet (zB Set-Top-Boxen, "Smart"-TV, E-Reader, TV-"Sticks" etc.). Diese Geräte können daher genauso wie Smartphones von diesen Sicherheitslücken betroffen sein, oftmals ist es allerdings nicht (einfach) möglich, überhaupt die Betriebssystem-Version herauszufinden. Hier empfiehlt sich im Zweifelsfall die Nachfrage beim Hersteller/Anbieter.

Abhilfe

Google hat angekündigt, noch diese Woche entsprechende Updates herausgeben zu wollen.
Update 6. Oktober 2015, 7:30
Google hat mittlerweile Over-the-air Updates für Nexus Geräte herausgegeben (siehe Nexus Security Bulletin (Oktober 2015)).
Das Android Open Source Project sollte in den nächsten 2 Tagen die entsprechenden Source Code Fixes erhalten.

Nutzer betroffener Android-Geräte können folgende Massnahmen treffen, um ein Ausnutzen dieses Problems zumindest zu erschweren:

  • deaktivieren von automatischen MMS-Downloads
  • deaktivieren von "Vorschau"-Funktionen, vor allem in Email- und Chat-Applikationen
  • erhöhte Vorsicht beim Anklicken von Links

Da es eine Vielzahl unterschiedlicher Versionen von Android gibt, können wir nicht im Detail informieren, für welche Geräte(-Versionen) von welchen Anbieteren entsprechend gefixte Versionen verfügbar sein werden.
Wir empfehlen, im Zweifel den Support des Herstellers (bei "freien" Geräten) bzw. des Mobilfunk-Anbieters (bei Geräten, die von diesen vertrieben wurden) zu kontaktieren.

Sollte für ein Gerät kein Update zur Verfügung (und auch nicht in Aussicht) stehen, kann eventuell die Installation einer freien Version von Android (zB CyanogenMod) helfen. Da dies jedoch oft ein komplexer Vorgang ist, empfehlen wir, dazu gegebenenfalls auf die Hilfe von Spezialisten zurückzugreifen.

Da das Problem mit der Aktualisierung von Android durch die Vielzahl an verschiedenen Versionen (durch Hersteller und Mobilfunk-Anbieter angepasst) system-immanent ist, empfehlen wir weiters, bei der Auswahl neuer Geräte darauf zu bestehen, dass es eine passende Policy bezüglich (Sicherheits-)Updates gibt.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Meldung des IT-Security Unternehmens Zimperium (englisch)
https://blog.zimperium.com/zimperium-zlabs-is-raising-the-volume-new-vulnerability-processing-mp3mp4-media/
Nexus Security Bulletin October 2015 (englisch)
https://groups.google.com/forum/#!topic/android-security-updates/_Rm-lKnS2M8