[Warning] Sicherheitslücken im Smartphone-Betriebssystem Android ("Stagefright 2.0")
Robert Waldner
waldner at cert.at
Mon Oct 5 12:05:01 CEST 2015
5. Oktober 2015
Beschreibung
Das IT-Security Unternehmen Zimperium hat letzte Woche Informationen
zu weiteren Sicherheitslücken im Smartphone-Betriebssystems Android
bekannt gegeben. Diese können, je nach Situation, ausgenutzt werden,
um beliebigen Code auf Android-Geräten auszuführen.
Details
In den Komponenten "libutils" sowie "libstagefright", welche unter
Android (und etwa durch Hersteller und Mobilfunk-Anbieter angepassten
Versionen) zur Darstellung von Multimedia-Inhalten benutzt werden,
gibt es Sicherheitslücken. Diese können durch speziell präparierte
MP3/MP4-Dateien ausgenutzt werden, um beliebigen Code auf betroffenen
Geräten auszuführen.
Es ist dabei meist User-Interaktion (zB anklicken eines Links)
nötig, dadurch kann in üblichen Konfigurationen die Lücke nicht
vollautomatisiert ausgenutzt werden.
Momentan ist erst einer der Lücken eine CVE-Nummer zugeordnet:
CVE-2015-6602 (libutils)
Auswirkungen
Prinzipiell ist damit zu rechnen, dass ein Angreifer durch Ausnutzen
dieser Lücken die vollständige Kontrolle über Android-Geräte
übernehmen kann.
Betroffene Systeme
Smartphones/Tablets mit Android
Laut den aktuell vorliegenden Informationen sind prinzipiell alle
Geräte mit Android von Version 1.0 bis 5.x betroffen. Die Lücken
können laut dem Post von Zimperium allerdings nur in Version 5.0
aufwärts gesichert für (Remote) Code Execution ausgenutzt werden -
ob auch Versionen vor 5.0 ausnutzbar sind, hängt davon ab, ob lokal
installierte Applikationen oder Hersteller-/Mobilfunk-Betreiber-
spezifische Anpassungen die verwundbare Version von libutils
benutzen.
Ob die neu angekündigte Version 6.0 ("Marshmallow") auch betroffen
sein wird, ist momentan nicht bekannt.
Andere Systeme mit Android
Oft sind auch andere Geräte als Smartphones mit Android als
Betriebssystem ausgestattet (zB Set-Top-Boxen, "Smart"-TV, E-Reader,
TV-"Sticks" etc.). Diese Geräte können daher genauso wie Smartphones
von diesen Sicherheitslücken betroffen sein, oftmals ist es
allerdings nicht (einfach) möglich, überhaupt die Betriebssystem-
Version herauszufinden. Hier empfiehlt sich im Zweifelsfall die
Nachfrage beim Hersteller/Anbieter.
Abhilfe
Google hat angekündigt, noch diese Woche entsprechende Updates
herausgeben zu wollen.
Nutzer betroffener Android-Geräte können folgende Massnahmen treffen,
um ein Ausnutzen dieses Problems zumindest zu erschweren:
* deaktivieren von automatischen MMS-Downloads
* deaktivieren von "Vorschau"-Funktionen, vor allem in Email- und
Chat-Applikationen
* erhöhte Vorsicht beim Anklicken von Links
Da es eine Vielzahl unterschiedlicher Versionen von Android gibt,
können wir nicht im Detail informieren, für welche Geräte(-Versionen)
von welchen Anbieteren entsprechend gefixte Versionen verfügbar sein
werden.
Wir empfehlen, im Zweifel den Support des Herstellers (bei "freien"
Geräten) bzw. des Mobilfunk-Anbieters (bei Geräten, die von diesen
vertrieben wurden) zu kontaktieren.
Sollte für ein Gerät kein Update zur Verfügung (und auch nicht in
Aussicht) stehen, kann eventuell die Installation einer freien
Version von Android (zB CyanogenMod) helfen. Da dies jedoch oft ein
komplexer Vorgang ist, empfehlen wir, dazu gegebenenfalls auf die
Hilfe von Spezialisten zurückzugreifen.
Da das Problem mit der Aktualisierung von Android durch die Vielzahl
an verschiedenen Versionen (durch Hersteller und Mobilfunk-Anbieter
angepasst) system-immanent ist, empfehlen wir weiters, bei der
Auswahl neuer Geräte darauf zu bestehen, dass es eine passende
Policy bezüglich (Sicherheits-)Updates gibt.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend aktualisieren - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Meldung des IT-Security Unternehmens Zimperium (englisch)
https://blog.zimperium.com/zimperium-zlabs-is-raising-the-volume-new-vulnerability-processing-mp3mp4-media/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151005/95e168f5/attachment.sig>
More information about the Warning
mailing list