Stagefright-Exploit „Metaphor“ betrifft Millionen ältere Android-Geräte

Sicherheitsforscher von NorthBit haben einen neuen Exploit für Lücken in Androids Multimedia-Bibliothek Stagefright oder libstagefright offengelegt, der ihnen zufolge ein Gerät in unter 20 Sekunden kompromittieren kann. „Metaphor“ erlaube Angriffe auf Millionen ältere Android-Geräte, darunter Google Nexus 5, LG G3, HTC One und Samsung Galaxy S5.

In seinem Forschungsbericht (PDF) erklärt das israelische Sicherheitsexpertenteam, dass der von ihnen entwickelte Exploit sich für Geräte mit den Android-Versionen 2.2 bis 4.0 eigne, zugleich aber auch die Schutztechnik Address Space Layout Randomization (ASLR) unter Android 5.0 und 5.1 umgehen könne. Ziel des Forschungsprojekts sei es gewesen, nachzuweisen, dass sich ASLR zur Ausnutzung der Stagefright aushebeln lasse.

Androids Multimedia-Bibliothek war vergangenen Sommer in die Schlagzeilen geraten, als das Sicherheitsunternehmen Zimperium eine Reihe von Schwachstellen in der Medienwiedergabe-Engine entdeckte und öffentlich machte. Es nannte sie damals „die schlimmsten Android-Lücken, die bisher aufgedeckt wurden“. Ein großes Problem dabei ist, dass Google zwar Patches entwickelt und bereitgestellt hat, Gerätehersteller sie aber selbständig implementieren müssen, worauf sie bei vielen älteren Modellen verzichten. Diese bleiben somit anfällig für die Lücken.

Um die Stagefright-Schwachstellen auszunutzen, muss ein Angreifer sein Opfer nur auf eine Webseite locken, die eine manipulierte MPEG4-Mediendatei enthält. Wird diese ausgeführt, stürzt Androids Medienserver ab, was wiederum das System zurücksetzt. Nach einem Neustart leitet auf der Website gehosteter JavaScript-Schadcode dann Gerätedaten an die Server des Angreifers weiter.

Metaphors Server sendet eine manipulierte Videodatei, welche die Lücke ausnutzt, und sammelt zusätzliche Informationen über die auf dem Gerät vorhandenen Sicherheitsvorkehrungen. Über eine weitere übermittelte Videodatei, die dann von der Multimediabibliothek verarbeitet wird, wird das Smartphone anschließend mit Malware infiziert. Der Angriff nutzt die Lücke CVE-2015-3864 aus, die Remotecodeausführung, das Auslesen von Informationen, Überwachung und die Übernahme des Geräts erlaubt.

In einem Proof-of-Concept-Video demonstrieren die NorthBit-Forscher ihre Angriffsmethode auf einem Nexus 5. Dabei wird das Gerät nach 20 Sekunden vollständig kompromittiert.

In ihrem Bericht weisen die Sicherheitsexperten darauf hin, das derzeit rund 23,5 Prozent aller Android-Geräte unter den OS-Versionen 5.0 und 5.1 laufen, was etwa 235 Millionen Geräten entspricht. Zudem nutzten 4 Prozent der installierten Android-Versionen keinen ASLR-Schutz, womit 40 Millionen Mobilgeräte für den Exploit anfällig seien. „Angesichts dieser Zahlen ist es schwer, zu begreifen, wieviele Geräte möglicherweise gefährdet sind“, so die Forscher.

Google hat bereits eine Reihe Patches für die Stagefright-Lücken veröffentlicht. Der letzte war erst Anfang des Monats erschienen und sollte die Schwachstelle CVE-2016-0824 beseitigen, die das Auslesen von Daten via Stagefright erlaubt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de