Stagefright-Exploit soll Android-Hersteller zu Updates bewegen

Die Sicherheitsfirma Zimperium hat einen funktionierenden Exploit für die von ihr Ende Juli entdeckten Stagefright-Lücken veröffentlicht. Mit ihm können Hersteller testen, ob ihre Geräte für die Schwachstellen in Androids Multimedia-Bibliothek anfällig sind, und gegebenenfalls ein Update entwickeln. Anwendern steht dazu die kostenlose App „Stagefright Detector“ zur Verfügung.

Ursprünglich wollte Zimperium den Exploit schon am 5. August zur Hackerkonferenz Black Hat veröffentlichen, wie es in einem Blogbeitrag schreibt. Doch nach Gesprächen mit Geräteherstellern und Mobilfunkanbietern habe man sich zu einer Verschiebung bereit erklärt.

Der jetzt verfügbare Exploit nutzt die Lücke CVE-2015-1538 aus, die Zimperium als die kritischste einstuft. Er wurde auf einem nicht näher spezifizierten Nexus-Gerät unter Android 4.0.4 getestet. Dabei seien teilweise jedoch mehrere Anläufe nötig gewesen. Geräte mit Android 5.0 oder höher seien aufgrund neuer Schutzmaßnahmen weniger anfällig für diese Lücke.

Zimperium zufolge muss ein Video per MMS an ein Gerät gesendet werden, um die Stagefright-Schwachstellen auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Der jetzt von Zimperium bereitgestellte Exploit erzeugt solch ein mit Schadcode versehenes MP4-Video mittels eines Python-Skripts.

Eine Folge nach Bekanntwerden der Anfälligkeiten war auch, dass die Deutsche Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Daraufhin versorgte Google die Hersteller von Android-Smartphones umgehend mit Patches. Dennoch sind bis heute noch nicht alle Geräte vollständig vor den Stagefright-Lücken geschützt. Beispielsweise sind die Samsung-Smartphones Galaxy S6 und S6 Edge auch mit der jüngsten Firmware-Version FXXU2COH2 vom 12. August weiterhin für zwei der acht bekannten Schwachstellen anfällig.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de