Forscher melden neun Schwachstellen in Androids VoIP-Komponenten

Ein Team aus Forschern des Handyherstellers Oppo, der Chinese University of Hongkong und der Singapore Management University haben insgesamt neun Sicherheitslücken in den Voice-over-IP-Komponenten von Googles Mobilbetriebssystem Android entdeckt. Sie erlauben es, nicht autorisierte VoIP-Anrufe zu starten, beliebige Anrufe abzulehnen, Anrufer-IDs zu fälschen und unter Umständen sogar Schadcode einzuschleusen und auszuführen.

Bisher hatten sich Sicherheitsexperten in erster Linie mit VoIP-Equipment, Servern und mobilen VoIP-Apps beschäftigt, jedoch nicht mit der VoIP-Software von Android. Dafür entwickelte das Forscherteam über einen Zeitraum von mehreren Jahren drei Methoden für die Suche nach Schwachstellen, mit denen sie systematisch die VoIP-Komponenten durchkämmten.

Im Lauf der Zeit nahmen sie unter anderem die System-APIs für Interaktionen mit den nativen VoIP-Komponenten und die verschiedenen VoIP-Protokolle wie SIP, SDP und RTP unter die Lupe. Die Funde sicherten sie schließlich mit manuellen Code-Audits ab. Zudem prüften sie nur aktuelle Android-Versionen von 7.x Nougat bis 9.0 Pie. Dabei kamen insgesamt neun Anfälligkeiten zutage.

Die erste Schwachstelle erlaubt es, über die offizielle App des russischen sozialen Netzwerks vKontakte einen VoIP-Anruf in der App zu starten oder die Umgebung des Nutzers abzuhören. Eine Interaktion mit dem Nutzer ist für diesen Angriff nicht erforderlich.

Eine schädliche App kann indes zwei lokale APIs missbrauchen und ankommende Gespräche ohne Zustimmung des Nutzers weiterleiten. Dieses Loch wurde allerdings schon 2017 gestopft.

Ein langer SIP (1043 Zeichen) erlaubt es, Spam-Anrufe zu starten, die sich nicht ablehnen lassen. Eine Häufung solcher Anrufe in kürzester Zeit kann ein Smartphone sogar vorübergehend unbrauchbar machen, was der Definition eines Denial-of-Service-Angriffs entspricht. In aktuellen Android-Versionen soll Google jedoch schon die Zahl der SIP-Zeichen einschränken.

Ebenfalls 2017 wurde eine Lücke gepatcht, die auch Denial-of-Service-Attacken ermöglichte. Speziell gestaltete SDP-Pakete lösten bis dahin einen Absturz des Geräts des Empfängers aus. Mit Android Oreo wurde zudem ein Fix für eine Schwachstelle eingeführt, die eine Remotecodeausführung erlaubte. Ein Anrufername mit mehr als 513 Byte löste in älteren Versionen einen Pufferüberlauf aus.

Eine weitere Anfälligkeit beruht darauf, dass Android und das SIP-Protokoll bestimmte Zeichen unterschiedlich behandeln. Das „&“-Zeichen wiederum bereitet Probleme, weil es vom Telefonnummernformat PSTN nicht unterstützt wird. Android liest deswegen nur die Ziffern vor dem „&“-Zeichen, was sich für Spoofing missbrauchen lässt. Das PSTN-Format ist aber auch der Ausgangspunkt von Spoofing-Angriffen, weil es einen Phone-Context genannten Parameter nutzt. Dieser wird zur Vorwahl einer Telefonnummer., die es jedoch bei VoIP-Anrufen nicht gibt. Die Telefon-App setzt den Parameter trotzdem um und fügt Ziffern zu einer Telefonnummer hinzu, die jedoch nur angezeigt wird.

Zum Zeitpunkt der jeweiligen Entdeckung waren alle Schwachstellen Zero-Day-Lücken. Sechs Sicherheitslücken lassen sich aus der Ferne ausnutzen, drei setzen einen lokalen Zugang (beispielsweise per schädlicher App) oder gar einen physischen Zugriff voraus.