Categories: MobileMobile OS

Forscher melden neun Schwachstellen in Androids VoIP-Komponenten

Ein Team aus Forschern des Handyherstellers Oppo, der Chinese University of Hongkong und der Singapore Management University haben insgesamt neun Sicherheitslücken in den Voice-over-IP-Komponenten von Googles Mobilbetriebssystem Android entdeckt. Sie erlauben es, nicht autorisierte VoIP-Anrufe zu starten, beliebige Anrufe abzulehnen, Anrufer-IDs zu fälschen und unter Umständen sogar Schadcode einzuschleusen und auszuführen.

Bisher hatten sich Sicherheitsexperten in erster Linie mit VoIP-Equipment, Servern und mobilen VoIP-Apps beschäftigt, jedoch nicht mit der VoIP-Software von Android. Dafür entwickelte das Forscherteam über einen Zeitraum von mehreren Jahren drei Methoden für die Suche nach Schwachstellen, mit denen sie systematisch die VoIP-Komponenten durchkämmten.

Im Lauf der Zeit nahmen sie unter anderem die System-APIs für Interaktionen mit den nativen VoIP-Komponenten und die verschiedenen VoIP-Protokolle wie SIP, SDP und RTP unter die Lupe. Die Funde sicherten sie schließlich mit manuellen Code-Audits ab. Zudem prüften sie nur aktuelle Android-Versionen von 7.x Nougat bis 9.0 Pie. Dabei kamen insgesamt neun Anfälligkeiten zutage.

Die erste Schwachstelle erlaubt es, über die offizielle App des russischen sozialen Netzwerks vKontakte einen VoIP-Anruf in der App zu starten oder die Umgebung des Nutzers abzuhören. Eine Interaktion mit dem Nutzer ist für diesen Angriff nicht erforderlich.

Eine schädliche App kann indes zwei lokale APIs missbrauchen und ankommende Gespräche ohne Zustimmung des Nutzers weiterleiten. Dieses Loch wurde allerdings schon 2017 gestopft.

Ein langer SIP (1043 Zeichen) erlaubt es, Spam-Anrufe zu starten, die sich nicht ablehnen lassen. Eine Häufung solcher Anrufe in kürzester Zeit kann ein Smartphone sogar vorübergehend unbrauchbar machen, was der Definition eines Denial-of-Service-Angriffs entspricht. In aktuellen Android-Versionen soll Google jedoch schon die Zahl der SIP-Zeichen einschränken.

Ebenfalls 2017 wurde eine Lücke gepatcht, die auch Denial-of-Service-Attacken ermöglichte. Speziell gestaltete SDP-Pakete lösten bis dahin einen Absturz des Geräts des Empfängers aus. Mit Android Oreo wurde zudem ein Fix für eine Schwachstelle eingeführt, die eine Remotecodeausführung erlaubte. Ein Anrufername mit mehr als 513 Byte löste in älteren Versionen einen Pufferüberlauf aus.

Eine weitere Anfälligkeit beruht darauf, dass Android und das SIP-Protokoll bestimmte Zeichen unterschiedlich behandeln. Das „&“-Zeichen wiederum bereitet Probleme, weil es vom Telefonnummernformat PSTN nicht unterstützt wird. Android liest deswegen nur die Ziffern vor dem „&“-Zeichen, was sich für Spoofing missbrauchen lässt. Das PSTN-Format ist aber auch der Ausgangspunkt von Spoofing-Angriffen, weil es einen Phone-Context genannten Parameter nutzt. Dieser wird zur Vorwahl einer Telefonnummer., die es jedoch bei VoIP-Anrufen nicht gibt. Die Telefon-App setzt den Parameter trotzdem um und fügt Ziffern zu einer Telefonnummer hinzu, die jedoch nur angezeigt wird.

Zum Zeitpunkt der jeweiligen Entdeckung waren alle Schwachstellen Zero-Day-Lücken. Sechs Sicherheitslücken lassen sich aus der Ferne ausnutzen, drei setzen einen lokalen Zugang (beispielsweise per schädlicher App) oder gar einen physischen Zugriff voraus.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago