Gipfeltreffen der Hacker-Elite: Black Hat und Defcon 2007

Der Security-Experte David Thiel vom kalifornischen IT-Sicherheitsunternehmen Isec Partners demonstrierte auf der Black Hat, wie sich Audio- und Videodateien so manipulieren lassen, dass sie als Angriffstools dienen können. (PDF) Das Verstecken von Schadcode in herkömmlichen Audio- und Videostreams birgt laut Thiel große Gefahren, da es keinen wirkungsvollen Schutz vor solchen Angriffen gibt. Angesichts der massenhaften Verbreitung von Multimediastreams auf Seiten wie Youtube oder Myspace rechnet Thiel mit einem riesigen Angriffspotenzial. Noch ist ihm allerdings kein Angriff untergekommen, der auf dieser Technik beruht.

Wie leicht sich MP3- oder Ogg-Vorbis-Files als Lastentiere für Schadcode missbrauchen lassen, demonstrierte Thiel anhand seines selbstgeschriebenen Python-Programms „Fuzzbox“. Das Tool nutzt die Metadaten der Files wie die ID3-Tags von MP3-Dateien, um die bösartigen Programmzeilen auf den Rechner des Opfers zu transportieren. Nachdem die Metadaten verändert wurden, berechnet das Tool die Prüfsummen neu, so dass die Mediaplayer die Datei als intakt akzeptieren.

Welche Mediaplayer für einen solchen Angriff anfällig sind, wollte Thiel noch nicht verraten. Er sei in Kontakt mit „namhaften Herstellern“ und wolle diesen die Chance geben, die Bugs zu bereinigen, bevor er die Liste der fehlerhaften Player publik macht. Der Experte verriet jedoch bereits, dass sich auch Speex-Dateien missbrauch lassen. Diese werden in der Regel zur Sprachwiedergabe verwendet und kommen beispielsweise bei der Open-Source-VoIP-Telefonanlage Asterisk zum Einsatz.