[Warning] Sicherheitslücken im Smartphone-Betriebssystem Android ("Stagefright")
Robert Waldner
waldner at cert.at
Tue Aug 11 11:50:42 CEST 2015
11. August 2015
Beschreibung
Wie seit einiger Zeit berichtet wird, gibt es in einer
Medien-Playback-Komponente ("Stagefright") des
Smartphone-Betriebssystems Android eine Sicherheitsschwachstelle.
Diese kann, je nach Situation, ausgenutzt werden, um beliebigen Code
auf Android-Geräten auszuführen.
Nachdem nun mehr Detailinformationen dazu bekannt sind, möchten wir
hiermit den aktuellen Stand, sowie Strategien zur Lösung bzw.
Begrenzung des Problems, zusammenfassen.
Details
Im "Stagefright"-Framework, welches unter Android (und etwa durch
Hersteller und Mobilfunk-Anbieter angepassten Versionen) zur
Darstellung von Multimedia-Inhalten benutzt wird, gibt es eine Reihe
an Sicherheitslücken sowie suboptimale Praktiken im Code. Dies kann
unter gewissen Umständen dazu führen, dass bereits durch das blosse
Empfangen entsprechend präparierter MMS-Nachrichten ein Angreifer
beliebigen Code auf betroffenen Systemen ausführen kann.
Da dieses Framework aber nicht nur für die Darstellung von
MMS-Nachrichten, sondern auch an vielen anderen Stellen benutzt wird,
sind auch diese prinzipiell betroffen. Es ist allerdings dabei meist
User-Interaktion (zB anklicken eines Links) nötig, dadurch kann in
diesen Fällen die Lücke nicht vollautomatisiert ausgenutzt werden.
Momentan sind zumindest diese CVE-Nummern diesem Problem zugeordnet:
CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826,
CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829.
Auswirkungen
Prinzipiell ist damit zu rechnen, dass ein Angreifer durch Ausnutzen
dieser Lücke die vollständige Kontrolle über Android-Geräte
übernehmen kann.
Es gibt jedoch einige Faktoren, die ein Ausnutzen zumindest
erschweren, vor allem ASLR (Address Space Layout Randomization) (ab
Android Version 4.0 verfügbar, ab Version 4.1 vollständig aktiv).
Einigen Berichten zu Folge sollen etwa 9% der noch benutzten Android-
Geräte nicht mit der ASLR-Technik arbeiten (laut derstandard.at,
http://derstandard.at/2000020502273/Stagefright-Auch-Motorola-verspricht-Updates-fuer-seine-Smartphones).
Betroffene Systeme
Laut den aktuell vorliegenden Informationen sind alle Versionen von
Android ab Version 2.2 (2010 veröffentlicht) betroffen.
Per 3. August waren folgende Derivate/Anwendungen mit entsprechenden
Patches versehen:
* Blackphone's PrivatOS ab Version 117
* "nightly" Releases von CyanogenMod 12.0 und 12.1
* Mozilla Firefox (benutzt unter Android die
"Stagefright"-Bibliotheken) ab Version 38
* die neuesten Releases von Android 5.1 könnten auch entsprechende
Fixes enthalten
Manche Hersteller haben - zumindest für einige aktuelle
"Flagship"-Modelle - entsprechende Updates angekündigt, wie zB
derstandard.at berichtet:
http://derstandard.at/2000020502273/Stagefright-Auch-Motorola-verspricht-Updates-fuer-seine-Smartphones
.
Ob und wie weit diese Updates mittlerweile tatsächlich verteit
wurden, und auch wie Endbenutzer dies kontrollieren können, ist
unklar.
Andere Systeme mit Android
Oft sind auch andere Geräte als Smartphones mit Android als
Betriebssystem ausgestattet (zB Set-Top-Boxen, "Smart"-TV, E-Reader,
TV-"Sticks" etc.). Diese Geräte können daher genauso wie Smartphones
von der "Stagefright"-Problematik betroffen sein, oftmals ist es
allerdings nicht (einfach) möglich, überhaupt die
Betriebssystem-Version herauszufiunden. Hier empfiehlt sich im
Zweifelsfall die Nachfrage beim Hersteller/Anbieter.
Abhilfe
Nutzer betroffener Android-Geräte können folgende Massnahmen
treffen, um ein Ausnutzen dieses Problems zumindest zu erschweren:
* deaktivieren von automatischen MMS-Downloads
* Upgrade auf aktuelle Android-Releases, bei denen ASLR verfügbar
und vollständig aktiv ist (dh. ab Version 4.1)
* deaktivieren von "Vorschau"-Funktionen, vor allem in Email- und
Chat-Applikationen
* erhöhte Vorsicht beim Anklicken von Links
* bei Nutzung des Mozilla Firefox-Browsers Upgrade auf Version 38
Da es eine Vielzahl unterschiedlicher Versionen von Android gibt,
können wir nicht im Detail informieren, für welche Geräte(-Versionen)
von welchen Anbieteren entsprechend gefixte Versionen verfügbar sind
(heise.de hat bei einigen Herstellern nachgefragt und die Antworten
hier veröffentlicht:
http://www.heise.de/newsticker/meldung/Stagefright-Luecken-in-Android-Geraete-Hersteller-lassen-Nutzer-im-Unklaren-2774462.html
).
* Wir empfehlen, im Zweifel den Support des Herstellers (bei "freien"
Geräten) bzw. des Mobilfunk-Anbieters (bei Geräten, die von diesen
vertrieben wurden) zu kontaktieren.*
Sollte für ein Gerät kein Update zur Verfügung (und auch nicht in
Aussicht) stehen, kann eventuell die Installation einer freien
Version von Android (zB CyanogenMod) helfen. Da dies jedoch oft ein
komplexer Vorgang ist, empfehlen wir, dazu gegebenenfalls auf die
Hilfe von Spezialisten zurückzugreifen.
Da das Problem mit der Aktualisierung von Android durch die Vielzahl
an verschiedenen Versionen (durch Hersteller und Mobilfunk-Anbieter
angepasst) system-immanent ist, empfehlen wir weiters, bei der
Auswahl neuer Geräte darauf zu bestehen, dass es eine passende
Policy bezüglich (Sicherheits-)Updates gibt. Laut sans.org
( https://www.sans.org/newsletters/newsbites/xvii/61#306 ) haben
zumindest Samsung, Google und LG mittlerweile angekündigt, in
Zukunft monatliche (Sicherheits-)Updates zur Verfügung stellen zu
wollen.
Es gibt auch eine Applikation, mit der angeblich geprüft werden kann,
ob das eigene Gerät für dieses Problem anfällig ist, wie etwa
futurezone.at schreibt:
http://futurezone.at/apps/android-app-analysiert-stagefright-risiko/145.714.280
Generell raten wir zu erhöhter Aufmerksamkeit vor der Installation
von Apps, die auf dieses Problem Bezug nehmen - auch wenn diese im
offiziellen App-Store aufscheinen - da es eine Vielzahl von wenig
seriösen Angeboten gibt (vgl. heise.de:
http://www.heise.de/security/meldung/Stagefright-Online-Ganoven-tarnen-Android-Trojaner-als-Sicherheitsupdate-2775388.html
), die die
aktuelle mediale Aufmerksamkeit ausnutzen, und die durch Ausnutzen
auch anderer Lücken (zB CVE-2015-3825, wie von The Register gestern
berichtet:
http://www.theregister.co.uk/2015/08/10/another_android_flaw_hitting_55_percent_handsets/
) dann
versuchen, Kontrolle über das Gerät zu erlangen.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend aktualisieren - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
* Wikipedia-Eintrag dazu (deutsch)
https://de.wikipedia.org/wiki/Stagefright_%28Sicherheitsl%C3%BCcke%29
* Wikipedia-Eintrag dazu (englisch)
https://en.wikipedia.org/wiki/Stagefright_%28bug%29
* golem.de Bericht zu Stagefright
http://www.golem.de/news/stagefright-sicherheitsluecke-elf-wege-ein-android-system-zu-uebernehmen-1508-115610.html
* Artikel zu Stagefright bei heise.de
http://www.heise.de/security/meldung/Stagefright-Luecken-Proof-of-Concept-kursiert-im-Netz-Lage-fuer-Android-Nutzer-spitzt-sich-zu-2767873.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150811/9a0f5236/attachment.sig>
More information about the Warning
mailing list