Stagefright-Exploit „Metaphor“ betrifft Millionen ältere Android-Geräte

Er kann ein Smartphone in unter 20 Sekunden kompromittieren. Gefährdet sind Geräte mit den Android-Versionen 2.2 bis 4.0. Der von Sicherheitsforschern von NorthBit entwickelte Exploit soll aber auch die Schutztechnik ASLR unter Android 5.0 und 5.1 umgehen können.

Sicherheitsforscher von NorthBit haben einen neuen Exploit für Lücken in Androids Multimedia-Bibliothek Stagefright oder libstagefright offengelegt, der ihnen zufolge ein Gerät in unter 20 Sekunden kompromittieren kann. „Metaphor“ erlaube Angriffe auf Millionen ältere Android-Geräte, darunter Google Nexus 5, LG G3, HTC One und Samsung Galaxy S5.

Stagefright (Bild: Zimperium)In seinem Forschungsbericht (PDF) erklärt das israelische Sicherheitsexpertenteam, dass der von ihnen entwickelte Exploit sich für Geräte mit den Android-Versionen 2.2 bis 4.0 eigne, zugleich aber auch die Schutztechnik Address Space Layout Randomization (ASLR) unter Android 5.0 und 5.1 umgehen könne. Ziel des Forschungsprojekts sei es gewesen, nachzuweisen, dass sich ASLR zur Ausnutzung der Stagefright aushebeln lasse.

Androids Multimedia-Bibliothek war vergangenen Sommer in die Schlagzeilen geraten, als das Sicherheitsunternehmen Zimperium eine Reihe von Schwachstellen in der Medienwiedergabe-Engine entdeckte und öffentlich machte. Es nannte sie damals „die schlimmsten Android-Lücken, die bisher aufgedeckt wurden“. Ein großes Problem dabei ist, dass Google zwar Patches entwickelt und bereitgestellt hat, Gerätehersteller sie aber selbständig implementieren müssen, worauf sie bei vielen älteren Modellen verzichten. Diese bleiben somit anfällig für die Lücken.

Um die Stagefright-Schwachstellen auszunutzen, muss ein Angreifer sein Opfer nur auf eine Webseite locken, die eine manipulierte MPEG4-Mediendatei enthält. Wird diese ausgeführt, stürzt Androids Medienserver ab, was wiederum das System zurücksetzt. Nach einem Neustart leitet auf der Website gehosteter JavaScript-Schadcode dann Gerätedaten an die Server des Angreifers weiter.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Metaphors Server sendet eine manipulierte Videodatei, welche die Lücke ausnutzt, und sammelt zusätzliche Informationen über die auf dem Gerät vorhandenen Sicherheitsvorkehrungen. Über eine weitere übermittelte Videodatei, die dann von der Multimediabibliothek verarbeitet wird, wird das Smartphone anschließend mit Malware infiziert. Der Angriff nutzt die Lücke CVE-2015-3864 aus, die Remotecodeausführung, das Auslesen von Informationen, Überwachung und die Übernahme des Geräts erlaubt.

In einem Proof-of-Concept-Video demonstrieren die NorthBit-Forscher ihre Angriffsmethode auf einem Nexus 5. Dabei wird das Gerät nach 20 Sekunden vollständig kompromittiert.

In ihrem Bericht weisen die Sicherheitsexperten darauf hin, das derzeit rund 23,5 Prozent aller Android-Geräte unter den OS-Versionen 5.0 und 5.1 laufen, was etwa 235 Millionen Geräten entspricht. Zudem nutzten 4 Prozent der installierten Android-Versionen keinen ASLR-Schutz, womit 40 Millionen Mobilgeräte für den Exploit anfällig seien. „Angesichts dieser Zahlen ist es schwer, zu begreifen, wieviele Geräte möglicherweise gefährdet sind“, so die Forscher.

Google hat bereits eine Reihe Patches für die Stagefright-Lücken veröffentlicht. Der letzte war erst Anfang des Monats erschienen und sollte die Schwachstelle CVE-2016-0824 beseitigen, die das Auslesen von Daten via Stagefright erlaubt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Google, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Stagefright-Exploit „Metaphor“ betrifft Millionen ältere Android-Geräte

Kommentar hinzufügen
  • Am 19. März 2016 um 1:57 von Dot2010

    Titel ist ein Witz.
    Hast Android gekauft hast gleichzeitig schon ein Altgerät erworben.

    • Am 20. März 2016 um 9:26 von Hmm

      Wenn du das sagst, wird das so sein!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *