[Warning] Sicherheitslücken im Smartphone-Betriebssystem Android ("Stagefright 2.0")

Robert Waldner waldner at cert.at
Mon Oct 5 12:05:01 CEST 2015 

5. Oktober 2015

Beschreibung

   Das IT-Security Unternehmen Zimperium hat letzte Woche Informationen
   zu weiteren Sicherheitslücken im Smartphone-Betriebssystems Android
   bekannt gegeben. Diese können, je nach Situation, ausgenutzt werden,
   um beliebigen Code auf Android-Geräten auszuführen.

Details

   In den Komponenten "libutils" sowie "libstagefright", welche unter
   Android (und etwa durch Hersteller und Mobilfunk-Anbieter angepassten
   Versionen) zur Darstellung von Multimedia-Inhalten benutzt werden,
   gibt es Sicherheitslücken. Diese können durch speziell präparierte
   MP3/MP4-Dateien ausgenutzt werden, um beliebigen Code auf betroffenen
   Geräten auszuführen.

   Es ist dabei meist User-Interaktion (zB anklicken eines Links)
   nötig, dadurch kann in üblichen Konfigurationen die Lücke nicht
   vollautomatisiert ausgenutzt werden.

   Momentan ist erst einer der Lücken eine CVE-Nummer zugeordnet:
   CVE-2015-6602 (libutils)

Auswirkungen

   Prinzipiell ist damit zu rechnen, dass ein Angreifer durch Ausnutzen
   dieser Lücken die vollständige Kontrolle über Android-Geräte
   übernehmen kann.

Betroffene Systeme

Smartphones/Tablets mit Android

   Laut den aktuell vorliegenden Informationen sind prinzipiell alle
   Geräte mit Android von Version 1.0 bis 5.x betroffen. Die Lücken
   können laut dem Post von Zimperium allerdings nur in Version 5.0
   aufwärts gesichert für (Remote) Code Execution ausgenutzt werden -
   ob auch Versionen vor 5.0 ausnutzbar sind, hängt davon ab, ob lokal
   installierte Applikationen oder Hersteller-/Mobilfunk-Betreiber-
   spezifische Anpassungen die verwundbare Version von libutils
   benutzen.

   Ob die neu angekündigte Version 6.0 ("Marshmallow") auch betroffen
   sein wird, ist momentan nicht bekannt.

Andere Systeme mit Android

   Oft sind auch andere Geräte als Smartphones mit Android als
   Betriebssystem ausgestattet (zB Set-Top-Boxen, "Smart"-TV, E-Reader,
   TV-"Sticks" etc.). Diese Geräte können daher genauso wie Smartphones
   von diesen Sicherheitslücken betroffen sein, oftmals ist es
   allerdings nicht (einfach) möglich, überhaupt die Betriebssystem-
   Version herauszufinden. Hier empfiehlt sich im Zweifelsfall die
   Nachfrage beim Hersteller/Anbieter.

Abhilfe

   Google hat angekündigt, noch diese Woche entsprechende Updates
   herausgeben zu wollen.

   Nutzer betroffener Android-Geräte können folgende Massnahmen treffen,
   um ein Ausnutzen dieses Problems zumindest zu erschweren:
     * deaktivieren von automatischen MMS-Downloads
     * deaktivieren von "Vorschau"-Funktionen, vor allem in Email- und
       Chat-Applikationen
     * erhöhte Vorsicht beim Anklicken von Links

   Da es eine Vielzahl unterschiedlicher Versionen von Android gibt,
   können wir nicht im Detail informieren, für welche Geräte(-Versionen)
   von welchen Anbieteren entsprechend gefixte Versionen verfügbar sein
   werden.
   Wir empfehlen, im Zweifel den Support des Herstellers (bei "freien"
   Geräten) bzw. des Mobilfunk-Anbieters (bei Geräten, die von diesen
   vertrieben wurden) zu kontaktieren.

   Sollte für ein Gerät kein Update zur Verfügung (und auch nicht in
   Aussicht) stehen, kann eventuell die Installation einer freien
   Version von Android (zB CyanogenMod) helfen. Da dies jedoch oft ein
   komplexer Vorgang ist, empfehlen wir, dazu gegebenenfalls auf die
   Hilfe von Spezialisten zurückzugreifen.

   Da das Problem mit der Aktualisierung von Android durch die Vielzahl
   an verschiedenen Versionen (durch Hersteller und Mobilfunk-Anbieter
   angepasst) system-immanent ist, empfehlen wir weiters, bei der
   Auswahl neuer Geräte darauf zu bestehen, dass es eine passende
   Policy bezüglich (Sicherheits-)Updates gibt.

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend aktualisieren - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung des IT-Security Unternehmens Zimperium (englisch)

https://blog.zimperium.com/zimperium-zlabs-is-raising-the-volume-new-vulnerability-processing-mp3mp4-media/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151005/95e168f5/attachment.sig>

More information about the Warning mailing list