Sicherheitslücken im Smartphone-Betriebssystem Android ("Stagefright")

11. August 2015

Beschreibung

Wie seit einiger Zeit berichtet wird, gibt es in einer Medien-Playback-Komponente ("Stagefright") des Smartphone-Betriebssystems Android eine Sicherheitsschwachstelle. Diese kann, je nach Situation, ausgenutzt werden, um beliebigen Code auf Android-Geräten auszuführen.

Nachdem nun mehr Detailinformationen dazu bekannt sind, möchten wir hiermit den aktuellen Stand, sowie Strategien zur Lösung bzw. Begrenzung des Problems, zusammenfassen.

Details

Im "Stagefright"-Framework, welches unter Android (und etwa durch Hersteller und Mobilfunk-Anbieter angepassten Versionen) zur Darstellung von Multimedia-Inhalten benutzt wird, gibt es eine Reihe an Sicherheitslücken sowie suboptimale Praktiken im Code. Dies kann unter gewissen Umständen dazu führen, dass bereits durch das blosse Empfangen entsprechend präparierter MMS-Nachrichten ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann.

Da dieses Framework aber nicht nur für die Darstellung von MMS-Nachrichten, sondern auch an vielen anderen Stellen benutzt wird, sind auch diese prinzipiell betroffen. Es ist allerdings dabei meist User-Interaktion (zB anklicken eines Links) nötig, dadurch kann in diesen Fällen die Lücke nicht vollautomatisiert ausgenutzt werden.

Momentan sind zumindest diese CVE-Nummern diesem Problem zugeordnet: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829.

Auswirkungen

Prinzipiell ist damit zu rechnen, dass ein Angreifer durch Ausnutzen dieser Lücke die vollständige Kontrolle über Android-Geräte übernehmen kann.

Es gibt jedoch einige Faktoren, die ein Ausnutzen zumindest erschweren, vor allem ASLR (Address Space Layout Randomization) (ab Android Version 4.0 verfügbar, ab Version 4.1 vollständig aktiv). Einigen Berichten zu Folge sollen etwa 9% der noch benutzten Android-Geräte nicht mit der ASLR-Technik arbeiten (laut derstandard.at).

Betroffene Systeme

Laut den aktuell vorliegenden Informationen sind alle Versionen von Android ab Version 2.2 (2010 veröffentlicht) betroffen.

Per 3. August waren folgende Derivate/Anwendungen mit entsprechenden Patches versehen:

  • Blackphone's PrivatOS ab Version 117
  • "nightly" Releases von CyanogenMod 12.0 und 12.1
  • Mozilla Firefox (benutzt unter Android die "Stagefright"-Bibliotheken) ab Version 38
  • die neuesten Releases von Android 5.1 könnten auch entsprechende Fixes enthalten
Manche Hersteller haben - zumindest für einige aktuelle "Flagship"-Modelle - entsprechende Updates angekündigt, wie zB derstandard.at berichtet. Ob und wie weit diese Updates mittlerweile tatsächlich verteit wurden, und auch wie Endbenutzer dies kontrollieren können, ist unklar.

Andere Systeme mit Android

Oft sind auch andere Geräte als Smartphones mit Android als Betriebssystem ausgestattet (zB Set-Top-Boxen, "Smart"-TV, E-Reader, TV-"Sticks" etc.). Diese Geräte können daher genauso wie Smartphones von der "Stagefright"-Problematik betroffen sein, oftmals ist es allerdings nicht (einfach) möglich, überhaupt die Betriebssystem-Version herauszufiunden. Hier empfiehlt sich im Zweifelsfall die Nachfrage beim Hersteller/Anbieter.

Abhilfe

Nutzer betroffener Android-Geräte können folgende Massnahmen treffen, um ein Ausnutzen dieses Problems zumindest zu erschweren:
  • deaktivieren von automatischen MMS-Downloads
  • Upgrade auf aktuelle Android-Releases, bei denen ASLR verfügbar und vollständig aktiv ist (dh. ab Version 4.1)
  • deaktivieren von "Vorschau"-Funktionen, vor allem in Email- und Chat-Applikationen
  • erhöhte Vorsicht beim Anklicken von Links
  • bei Nutzung des Mozilla Firefox-Browsers Upgrade auf Version 38

Da es eine Vielzahl unterschiedlicher Versionen von Android gibt, können wir nicht im Detail informieren, für welche Geräte(-Versionen) von welchen Anbieteren entsprechend gefixte Versionen verfügbar sind (heise.de hat bei einigen Herstellern nachgefragt und die Antworten hier veröffentlicht).
Wir empfehlen, im Zweifel den Support des Herstellers (bei "freien" Geräten) bzw. des Mobilfunk-Anbieters (bei Geräten, die von diesen vertrieben wurden) zu kontaktieren.
Sollte für ein Gerät kein Update zur Verfügung (und auch nicht in Aussicht) stehen, kann eventuell die Installation einer freien Version von Android (zB CyanogenMod) helfen. Da dies jedoch oft ein komplexer Vorgang ist, empfehlen wir, dazu gegebenenfalls auf die Hilfe von Spezialisten zurückzugreifen.

Da das Problem mit der Aktualisierung von Android durch die Vielzahl an verschiedenen Versionen (durch Hersteller und Mobilfunk-Anbieter angepasst) system-immanent ist, empfehlen wir weiters, bei der Auswahl neuer Geräte darauf zu bestehen, dass es eine passende Policy bezüglich (Sicherheits-)Updates gibt. Laut sans.org haben zumindest Samsung, Google und LG mittlerweile angekündigt, in Zukunft monatliche (Sicherheits-)Updates zur Verfügung stellen zu wollen.

Es gibt auch eine Applikation, mit der angeblich geprüft werden kann, ob das eigene Gerät für dieses Problem anfällig ist, wie etwa futurezone.at schreibt.
Generell raten wir zu erhöhter Aufmerksamkeit vor der Installation von Apps, die auf dieses Problem Bezug nehmen - auch wenn diese im offiziellen App-Store aufscheinen - da es eine Vielzahl von wenig seriösen Angeboten gibt (vgl. heise.de), die die aktuelle mediale Aufmerksamkeit ausnutzen, und die durch Ausnutzen auch anderer Lücken (zB CVE-2015-3825, wie von The Register gestern berichtet) dann versuchen, Kontrolle über das Gerät zu erlangen.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Wikipedia-Eintrag dazu (deutsch)
https://de.wikipedia.org/wiki/Stagefright_%28Sicherheitsl%C3%BCcke%29
Wikipedia-Eintrag dazu (englisch)
https://en.wikipedia.org/wiki/Stagefright_%28bug%29
golem.de Bericht zu Stagefright
http://www.golem.de/news/stagefright-sicherheitsluecke-elf-wege-ein-android-system-zu-uebernehmen-1508-115610.html
Artikel zu Stagefright bei heise.de
http://www.heise.de/security/meldung/Stagefright-Luecken-Proof-of-Concept-kursiert-im-Netz-Lage-fuer-Android-Nutzer-spitzt-sich-zu-2767873.html