Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu
Noch bevor die Sicherheitslücken offiziell auf der Hackerkonferenz vorgestellt wurden kursiert eine Anleitung zum Bau eines Proof-of-Concept im Netz. Ferner soll ein russisches Unternehmen bereits einen Exploit verkaufen.
- Ronald Eikenberg
Die Einschläge kommen näher: Ein chinesisches Blog hat weitere Details zu einer der kritischen Stagefright-Lücken in Android veröffentlicht – darunter auch erste Schritte zum Bau eines Exploits. Wenige Änderungen an einer beliebigen MP4-Videodatei reichen aus, um mit ihr Androids Multimedia-Framework Stagefright zum Absturz zu bringen. Dies konnte heise Security nachvollziehen. Es kommt zu einem Heap Overflow, den ein Angreifer zum Ausführen von Schadcode missbrauchen kann. Bleibende Schäden kann eine nach der Anleitung präparierte Datei jedoch nicht anrichten.
Exploit gegen Geld
Man muss fest damit rechnen, dass bereits weitere Exploits in der Entwicklung sind und im Laufe der nächsten Stunden oder Tage ihren Weg ins Netz finden werden. Wertvolle Details liefern Exploit-Entwicklern auch die Änderungen am Android-Quellcode, die jedermann frei einsehen kann. Laut eines Forbes-Berichts soll sich ein passender Proof-of-Concept bereits in dem Pentesting-Tool VulnDisco befinden, das der russische Hersteller Intevydis seiner zahlenden Kundschaft zugänglich macht – darunter Regierungsorganisationen.
Weitere Details zu den Schwachstellen wird ihr Entdecker Joshua Drake am kommenden Mittwoch auf der Hackerkonferenz BlackHat in Las Vegas vorstellen. Er arbeitet für die Security-Firma Zimperium, die angekündigt hat, spätestens am 24. August selbst ein Proof-of-Concept herauszugeben. Sollte diesem Termin jemand zuvorkommen, will das Unternehmen die Veröffentlichung vorziehen.
Düstere Aussichten
Sobald Angriffscode im Netz kursiert, der echten Schaden anrichtet, haben die meisten Android-Nutzer ein echtes Problem: Angriffslustige Mediendateien können auf vielfältige Weisen Schadcode ins Smartphone oder Tablet einschleusen – die verwundbare Stagefright-Schnittstelle wird von etlichen Apps zum Abspielen von Multimedia-Inhalten genutzt. in Angreifer muss seinem Opfer in spe lediglich ein verseuchtes Video per MMS schicken, um dessen Smartphone dauerhaft zu kompromittieren. Wie der Antivirenhersteller TrendMicro demonstriert, gelingt die Stagefright-Attacke aber ebenso gut über Webseiten und Apps.
Nach derzeitigem Kenntnisstand sind so gut wie alle Android-Geräte auf die ein oder andere Weise durch die Lücken angreifbar – viele davon über verseuchte MMS. Eine derartig Hohe Trefferwahrscheinlichkeit weckt freilich Begehrlichkeiten bei Cyber-Ganoven, die mit ihren Erpressungstrojanern und Online-Banking-Malware längst in der Android-Welt angekommen sind. Schützen kann man sich in den meisten Fällen nur, indem man einzelne Angriffswege blockiert – etwa, indem man den MMS-Empfang abschaltet.
Updates sind weiter Mangelware
Vollständigen Schutz vor Stagefright-Expoits kann nur ein Firmware-Update gewährleisten, in das die entsprechenden Patches eingearbeitet wurden. Solche bieten derzeit allerdings nur wenige Hersteller an – etwa Google für sein Nexus 6. Auch der Umstieg auf die alternative Android-Distribution CyanogenMod hilft, da deren Entwickler die Stagefright-Patches bereits in Version 11 und 12 eingebaut haben. CyanogenMod wird für zahlreiche Android-Geräte angeboten. (rei)
