Categories: Sicherheit

Stagefright-Exploit „Metaphor“ betrifft Millionen ältere Android-Geräte

Sicherheitsforscher von NorthBit haben einen neuen Exploit für Lücken in Androids Multimedia-Bibliothek Stagefright oder libstagefright offengelegt, der ihnen zufolge ein Gerät in unter 20 Sekunden kompromittieren kann. „Metaphor“ erlaube Angriffe auf Millionen ältere Android-Geräte, darunter Google Nexus 5, LG G3, HTC One und Samsung Galaxy S5.

In seinem Forschungsbericht (PDF) erklärt das israelische Sicherheitsexpertenteam, dass der von ihnen entwickelte Exploit sich für Geräte mit den Android-Versionen 2.2 bis 4.0 eigne, zugleich aber auch die Schutztechnik Address Space Layout Randomization (ASLR) unter Android 5.0 und 5.1 umgehen könne. Ziel des Forschungsprojekts sei es gewesen, nachzuweisen, dass sich ASLR zur Ausnutzung der Stagefright aushebeln lasse.

Androids Multimedia-Bibliothek war vergangenen Sommer in die Schlagzeilen geraten, als das Sicherheitsunternehmen Zimperium eine Reihe von Schwachstellen in der Medienwiedergabe-Engine entdeckte und öffentlich machte. Es nannte sie damals „die schlimmsten Android-Lücken, die bisher aufgedeckt wurden“. Ein großes Problem dabei ist, dass Google zwar Patches entwickelt und bereitgestellt hat, Gerätehersteller sie aber selbständig implementieren müssen, worauf sie bei vielen älteren Modellen verzichten. Diese bleiben somit anfällig für die Lücken.

Um die Stagefright-Schwachstellen auszunutzen, muss ein Angreifer sein Opfer nur auf eine Webseite locken, die eine manipulierte MPEG4-Mediendatei enthält. Wird diese ausgeführt, stürzt Androids Medienserver ab, was wiederum das System zurücksetzt. Nach einem Neustart leitet auf der Website gehosteter JavaScript-Schadcode dann Gerätedaten an die Server des Angreifers weiter.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Metaphors Server sendet eine manipulierte Videodatei, welche die Lücke ausnutzt, und sammelt zusätzliche Informationen über die auf dem Gerät vorhandenen Sicherheitsvorkehrungen. Über eine weitere übermittelte Videodatei, die dann von der Multimediabibliothek verarbeitet wird, wird das Smartphone anschließend mit Malware infiziert. Der Angriff nutzt die Lücke CVE-2015-3864 aus, die Remotecodeausführung, das Auslesen von Informationen, Überwachung und die Übernahme des Geräts erlaubt.

In einem Proof-of-Concept-Video demonstrieren die NorthBit-Forscher ihre Angriffsmethode auf einem Nexus 5. Dabei wird das Gerät nach 20 Sekunden vollständig kompromittiert.

In ihrem Bericht weisen die Sicherheitsexperten darauf hin, das derzeit rund 23,5 Prozent aller Android-Geräte unter den OS-Versionen 5.0 und 5.1 laufen, was etwa 235 Millionen Geräten entspricht. Zudem nutzten 4 Prozent der installierten Android-Versionen keinen ASLR-Schutz, womit 40 Millionen Mobilgeräte für den Exploit anfällig seien. „Angesichts dieser Zahlen ist es schwer, zu begreifen, wieviele Geräte möglicherweise gefährdet sind“, so die Forscher.

Google hat bereits eine Reihe Patches für die Stagefright-Lücken veröffentlicht. Der letzte war erst Anfang des Monats erschienen und sollte die Schwachstelle CVE-2016-0824 beseitigen, die das Auslesen von Daten via Stagefright erlaubt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago