Gegenmaßnahmen zu Android Stagefright Bugs

Android Stagefright

Stagefright ist ein sogenanntes Multimedia Framework im Android Betriebssystem und seit der Version 2.3 mit an Bord. Es wird für die Verarbeitung von Multimedia Daten verwendet, wie etwa Videos in allen möglichen Formaten. Vor einiger Zeit stieß Joshua Drake über diverse Sicherheitslücken in diesem Framework, die es erlauben fremden Programmcode aus zu führen oder Android in einer Daurschleife zum Absturz zu bringen. Beides Szenarien, die man als Nutzer eines betroffenen Gerätes nicht haben möchte. Betroffen davon sind laut Spiegel & Co. etwa 95% aller aktiven Geräte, beginnend bei Version 2.3 bis 5.1.1.

Die Sicherheitslücken zusammen sind zahlreich:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824 – nicht vollständig geschlossen
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829
  • CVE-2015-3864 – noch aktiv

Es reicht, wenn eine MMS oder eine Hangout Nachricht samt präpariertem Video eintrifft. Die automatische Verarbeitung dieser Datei bewirkt nun, dass ein klassischer Pufferüberlauf dafür sorgt, dass fremder Programmcode starten kann. Dieser kann unter um Ständen das Gerät so übernehmen, dass laufend im Hintergrund Videos samt Audiodaten mitgeschnitten werden können.

Wer mehr dazu erfahren möchte, kann sich gerne über einen Beitrag auf der BlackHat aus diesem Jahr informieren:

Bin ich von Stagefright betroffen?

Ob man betroffen ist oder nicht, lässt sich ohne weiteres nur schwer sagen. Es gibt eine App, die im Google Store verfügbar ist und bestimmte Tests durchführt:

Hier ein Screenshot meines Huawei G620S mit Android 4.4.4 mit einer bekannten Schwachstelle. Ich habe mittlerweile bestimmte Funktionen deaktiviert:

Android Stagefright Test App
Android Stagefright Test App

Gegenmaßnahmen zu Stagefright

Grundsätzlich gibt es unterschiedliche Arten der Gegenmaßnahmen, auf die ich eingehen möchte:

Custom Android ROM

Wer sich ein wenig Zeit nimmt und Android etwas näher studiert findet schnell heraus, dass man nicht die Herstellervariante von Android nutzen muss. Huawei, Samsung, HTC, Sony und viele andere nehmen das Google Android und passen es etwas an. Damit entsteht für den Endkunden eine neue Abhängigkeit. Es kommen nämlich nur selten Patches und Updates für alle Telefone eines Herstellers.

Ganz anders ist die Vorgehensweise einer Geräteunabhängigen Version, nämlich CyanogenMod. Die Entwickler dieses Android Systems bemühen sich regelmäßig darum, dass aktuellste Google Android so an zu passen, dass es auf allen Geräten läuft. Damit kann man auch als Samsung Kunde ein Google Android haben, ohne lästige Apps, die man nicht haben will. Ebenso, und noch viel wichtiger, genießt man einen aktuellen Versionsstand. Gerade Modelle, die nicht so populär sind wie ein Galaxy S6 bekommen seltener oder gar keine Updates, wie mein Galaxy Tab 3.

Deshalb ist die Verwendung von CyanogenMod eine der Möglichkeiten, sich vor Stagefright und anderen Bugs zu schützen. Es ist fast immer aktueller als die Hersteller Android Versionen und in der Version 12.1 auch vor den neuesten (seit August) Stagefright Lücken gewappnet.

Automatische Verarbeitung von Multimedia

Durch folgende Einstellungen ist die Bedienung von Android nicht mehr ganz so komfortabel wie bisher aber sicherer, falls man kein CyanogenMod 11, 12 oder 12.1 hat und die Hardwarehersteller einen im Stich lassen:

Noch ist die Gefahr vorhanden

Die Stagefrightlücke, kann aber noch über mehrere Wege ein Gerät infizieren. Hangout Kontakte, die erlaubt sind, da es sich um Freunde handelt, können ebenso kompromittierte Videos versenden. Nicht absichtlich, sondern über eine fremde Übernahme der Funktion. Ebenso kann man sich ohne gepatchtes Android auch auf Webseiten infizieren, auf denen entsprechend manipulierte Videos platziert werden. Gegenmaßnahmen hier wären spezielle Proxies und Firewalls, die diese Seiten kennen und sperren.

Gerade letzteres eignet sich hervorragend für eine Spear Phishing Attacke. Das möchte ich hier aber nicht weiter vertiefen :-)

Artikel teilen:

Kommentar verfassen