Stagefright: Sicherheitslücke gefährlicher als gedacht

Stagefright (Bild: Zimperium)

Angreifer können die Schwachstelle nicht nur über MMS ausnutzen, sondern auch über manipulierte MP4-Dateien. Diese müssen nur in Apps oder Websites eingebettet sein. Die Hersteller haben von Google bereits einen Patch erhalten. Diesen müssen sie nun an die Nutzer verteilen.

Die Sicherheitslücke Stagefright in Android ist offenbar gefährlicher als bislang vermutet. Das hat Trend Micro herausgefunden. Demnach gibt es weitere Angriffsvektoren. Angreifer können nicht nur MMS-Nachrichten nutzen, um die Schwachstelle auszunutzen, sondern auch entsprechend präparierte Websites und Apps.

Der Fehler steckt in Androids Mediaplayer-Engine und wurde von der Sicherheitsfirma Zimperium entdeckt. Dem Unternehmen zufolge müssen Cyberkriminelle ein Video per MMS an ein Gerät senden, um Stagefright auszunutzen. Dabei ist es abhängig von der Messaging-App, ob ein Nutzer das Video unbedingt ansehen muss. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert.

Trend Micro zufolge ist der Dienst Mediaserver nicht in der Lage, mit einer deformierten MP4-Datei korrekt umzugehen. “Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben”, führt Sicherheitsforscher Wish Wu in einem Blog aus. “Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.”

Hier die neue Version von Android. Android 4.4 heißt KitKat und Spötter geben an, dass Google jetzt sogar Versionsnamen eines Betriebssystems monetarisiert. Quelle: Google

Wu und seine Kollegen demonstrierten wie sich mit einer manipulierten MP4-Datei der Heap des Mediaservers zum Absturz bringen lässt. Außerdem könnten Cyberkriminelle einen speziellen Datenblock erzeugen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen.

In einem zweiten Szenario betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun etwa in Android 5.1.1 zur Betrachtung die integrierte Komponente WebView genutzt, ergaben sich die gleichen Probleme wie im ersten Szenario. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Stagefright wurde bis jetzt wohl nicht ausgenutzt, die Sicherheitslücke soll aber über 94 Prozent aller Android-Geräte betreffen. Google hat den Herstellern zwar Patches zur Vefügung gestellt, aber noch ist weitgehend unklar, wann und für welche Geräte Sicherheitsaktualisierungen bei den Nutzern ankommen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de