Stagefright (Sicherheitslücke)

Stagefright (englisch für „Lampenfieber“) bezeichnet mehrere im Juli 2015 bekannt gewordene Sicherheitslücken im gleichnamigen Multimedia-Framework des Betriebssystems Android von Google.

Betroffene Geräte[Bearbeiten | Quelltext bearbeiten]

Das Stagefright-Framework wird seit Android-Version 2.3 als Standardbibliothek zum Verarbeiten von Multimediadateien genutzt.^[1] Betroffen von den Sicherheitslücken im Framework sind die Android-Versionen 2.2 bis zur Version 5.1.1. Schätzungen gehen davon aus, dass zum damaligen Zeitpunkt 95 % aller aktuellen Android-Geräte betroffen waren.^[2] Das entspricht einer Anzahl von 950 Millionen Geräten.^[2] Laut einer anderen Quelle wurden alleine im Jahr 2014 ca. 1 Milliarde Android-Geräte verkauft, die alle mit einer verwundbaren Version ausgeliefert wurden.^[3]

Seit Android 4.0 ist die Schutzfunktion Address Space Layout Randomization (ASLR) eingebaut, die das Ausnutzen der Sicherheitslücke erschwert, aber nicht vollständig verhindert.^[1]

Entdeckung[Bearbeiten | Quelltext bearbeiten]

Die Lücken wurden von Joshua Drake von der IT-Sicherheitsfirma „Zimperium zLabs“ entdeckt, im April und Mai an Google gemeldet und am 27. Juli 2015 die Öffentlichkeit informiert.^[4]

Die Stagefright-Lücken haben die CVE-Nummern

• CVE-2015-1538,
• CVE-2015-1539,
• CVE-2015-3824,
• CVE-2015-3826,
• CVE-2015-3827,
• CVE-2015-3828 und
• CVE-2015-3829 erhalten.^[5]

Am 9. September 2015 wurde von Zimperium ein Exploit veröffentlicht, der die Sicherheitslücke CVE-2015-1538 ausnutzt.^[6][7]

Auswirkung[Bearbeiten | Quelltext bearbeiten]

Eine speziell präparierte Multimedia-Datei wie ein MP4-Video kann das Multimedia-Framework zum Absturz bringen. Der entstandene Pufferüberlauf auf dem Heap-Speicher (englisch: Heap Overflow) kann anschließend zum Ausführen von bösartigem Programmcode genutzt werden.^[8]

Als Folge können auf dem betroffenen Android-Gerät beispielsweise Audio-Mitschnitte oder Videos ohne Zutun des Benutzers erstellt werden. Das Android-Gerät kann somit als Abhörgerät missbraucht werden. Der Angreifer hätte auch Zugriff auf die Mediengalerie und die Bluetooth-Schnittstelle. Der Angriff an sich kann über das Zusenden einer MMS- oder Hangouts-Nachricht, über einen Messenger, die Nutzung von Apps, E-Mails, USB, Bluetooth, vCard, SD-Karte, NFC oder den Besuch einer präparierten Webseite stattfinden.^[9]

Im Falle der MMS genügt, solange das automatische Herunterladen nicht empfängerseitig abgeschaltet ist, das Zusenden einer solchen Nachricht für einen erfolgreichen Angriff. Da das Stagefright-Framework eine Datei bereits beim Empfang verarbeitet, reicht auch in anderen Fällen das automatische Herunterladen einer zugesendeten Datei aus, um ein Gerät ohne Zutun des Benutzers zu kompromittieren, d. h. die Datei braucht nicht explizit aufgerufen und abgespielt zu werden.^[1]

Adrian Ludwig, Sicherheitschef für Android bei Google, gab in einem Vortrag auf einer Sicherheitskonferenz im Februar 2017 bekannt, dass keine bestätigten Fälle bekannt sind, bei denen die Stagefright-Sicherheitslücke auf Geräten von Benutzern tatsächlich ausgenutzt wurde.^[10]

Schutzmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Als eine Gegenmaßnahme wird die Abschaltung des automatischen Empfangs von MMS empfohlen. In „Hangouts“ muss in den Einstellungen die Option Automatischer MMS-Download bzw. in der App „SMS/MMS“ Automatisch abrufen deaktiviert werden. Sofern andere Kommunikations-Apps die Möglichkeiten bieten, sollte auch bei diesen der automatische Abruf von Dateien deaktiviert werden. Einen vollständigen Schutz bietet nur eine entsprechend fehlerkorrigierte, neue Android-Version (auch Firmware genannt).

Viele Geräte der alternativen Android-Firmware CyanogenMod (CM) mit den CM-Versionen 11.0, 12.0^[11] sowie der Beta-Version 12.1^[12] wurden bereits am 14. Juli 2015 mit einer abgesicherten Nightly-Softwareversion versorgt. Ob ein Android-Gerät auch eine offizielle korrigierte Version des Betriebssystems erhält, hängt vom jeweiligen Betreuer (englisch: Maintainer) ab.^[13]

Android-Geräte mit einer Original-Firmware sind von der Bereitschaft des jeweiligen Herstellers bzw. Anbieters abhängig. Viele Geräte erhalten aktuelle Android-Versionen sehr spät oder gar nicht (siehe dazu den Artikel zur Verfügbarkeit aktueller Versionen für vorhandene Android-Geräte).

Im Google Play Store steht eine App vom Entdecker der Sicherheitslücke bereit^[14], mit der die Anfälligkeit des eigenen Gerätes gefahrlos getestet werden kann.^[15]

Neue Sicherheitslücken[Bearbeiten | Quelltext bearbeiten]

August 2015[Bearbeiten | Quelltext bearbeiten]

Am 13. August 2015 wurde bekannt, dass eine der von Google Anfang August veröffentlichten Fehlerkorrekturen (vgl. Reaktionen) die Sicherheitslücke CVE-2015-3824 nicht vollständig schließt. Damit bleiben Millionen Geräte weiter für mindestens eine der Stagefright-Sicherheitslücken anfällig. Die neue Stagefright-Lücke hat die CVE-Nummer CVE-2015-3864 zugewiesen bekommen.^[16][17] Der überarbeitete Patch wurde von Google am 9. September 2015 für seine auf Android 5.1.1 basierenden Nexus-Geräte, mit Ausnahme des ersten Nexus 7, veröffentlicht.^[18][19]

Im Quellcode der CyanogenMod-Versionen CM 10.1 bis 12.1 wurde die neue Sicherheitslücke bereits am 13. August 2015 geschlossen.^[20] Für Android-Geräte mit der Version CM 12.1 sowie einige Geräte von CM 11.0 und 12.0 steht eine korrigierte Nightly-Version des fehlerhaften Patches bereit.^[21] Ende August 2015 erschien für die CyanogenMod-Versionen CM 11.0 bis 12.1 eine stabile Version, welche alle bis dahin bekannten Stagefright-Sicherheitslücken schließt.^[22]

Oktober 2015[Bearbeiten | Quelltext bearbeiten]

Am 1. Oktober 2015 meldete erneut Joshua Drake von Zimperium zwei weitere kritische Sicherheitslücken in der Stagefright-Bibliothek, von denen alle Android-Versionen betroffen sind.^[23] Die auch als Stagefright 2.0 bekannt gewordenen Sicherheitslücken mit den CVE-Nummern CVE-2015-3876 und CVE-2015-6602 wurden von Google am 5. Oktober 2015 in der Android-Version für die hauseigenen Nexus-Geräte behoben.^[24]

Folgemonate[Bearbeiten | Quelltext bearbeiten]

Aus Googles Änderungsprotokollen zu den im November^[25] und Dezember 2015^[26] veröffentlichten monatlichen Sicherheitsupdates geht hervor, dass weitere als kritisch eingestufte Sicherheitslücken in der Stagefright-Bibliothek existierten und geschlossen wurden.^[27] Einige der Lücken betreffen auch die im Oktober 2015 erschienene Android-Version 6.0 (Marshmallow).

Reaktionen[Bearbeiten | Quelltext bearbeiten]

Als Reaktionen wurde der automatische MMS-Empfang im Netz der Deutschen Telekom vom Betreiber vorübergehend deaktiviert.^[28]

Die Hersteller Acer, Google, Fairphone,^[29] HTC, Huawei,^[30] Lenovo, LG, Motorola,^[31][32] Samsung und Sony gaben an, für einen Teil ihrer Android-Geräte die Sicherheitslücken durch eine Systemaktualisierung schließen zu wollen.^[33]

Google veröffentlichte am 5. August 2015 die ersten Sicherheitsaktualisierungen für seine auf Android 5.1.1 basierenden Nexus-Geräte (mit Ausnahme der ersten Nexus-7-Generation aus 2012).^[34][35] Weitere Stagefright-Sicherheitslücken für diese Geräte wurden von Google durch Updates am 9. September^[18] und 5. Oktober 2015^[24] geschlossen.

Für die Versionen CM 11 bis 12.1 der alternativen Android-Firmware CyanogenMod erschien Ende August 2015 eine stabile Version,^[22] nachdem bereits zuvor in einigen Nightly-Build-Versionen die Stagefright-Sicherheitslücken geschlossen worden waren.^[21]

Als weitere Maßnahme kündigten Google, LG^[36] und Samsung^[37] an, zukünftig monatliche Sicherheitsaktualisierungen für ihre aktuellen Geräte zu verteilen.^[38][39]

Im Rahmen der Entwicklung von Android 7 Nougat,^[40] welches im August 2016 veröffentlicht wurde, überarbeitete und härtete Google das Multimedia-Framework, um es besser vor Kompromittierung zu schützen.^[41]

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Offizielle Webseite des Multimedia-Frameworks Stagefright
• Alternative Android-Firmware CyanogenMod
• Video-Mitschnitt von Joshua Drakes Stagefright-Vortrag auf der Black Hat 2015
• CVE-2015-3864
• CVE-2015-3876
• CVE-2015-6602

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c} Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen. Golem.de, 6. August 2015, abgerufen am 6. August 2015. 
2. ↑ ^{a b} Android-Smartphones: 950 Millionen Geräte durch Sicherheitslücke bedroht. Spiegel Online, 28. Juli 2015, abgerufen am 6. August 2015. 
3. ↑ Android Breaks 1B Mark For 2014, 81% Of All 1.3B Smartphones Shipped. TechCrunch, 29. Januar 2015, abgerufen am 6. August 2015. 
4. ↑ Stagefright: Android-Smartphones über Kurznachrichten angreifbar. In: heise.de. 27. Juli 2015, abgerufen am 29. Juli 2015. 
5. ↑ Experts Found a Unicorn in the Heart of Android. In: zimperium.com. 27. Juli 2015, abgerufen am 29. Juli 2015. 
6. ↑ EStagefright-Quellcode jetzt öffentlich, Updates noch nicht. In: Golem.de. 10. September 2015, abgerufen am 11. September 2015. 
7. ↑ The Latest on Stagefright: CVE-2015-1538 Exploit is Now Available for Testing Purposes. In: zimperium.com. 9. September 2015, abgerufen am 11. September 2015. 
8. ↑ Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu. In: heise.de. 4. August 2015, abgerufen am 4. August 2015. 
9. ↑ Sicherheitslücke „Stagefright“ lässt sich nicht nur über MMS ausnutzen. In: zdnet.de. 3. August 2015, abgerufen am 3. August 2015. 
10. ↑ Google claims ‘massive’ Stagefright Android bug had 'sod all effect'. In: The Register. 15. Februar 2017, abgerufen am 28. April 2017. 
11. ↑ CyanogenMod Code Review. Search for branch:cm-12.0 project:CyanogenMod/android_frameworks_av. In: review.cyanogenmod.org. 14. Juli 2015, archiviert vom Original (nicht mehr online verfügbar) am 19. Dezember 2012; abgerufen am 7. August 2015 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/review.cyanogenmod.org 
12. ↑ CyanogenMod Code Review. Search for branch:cm-12.1 project:CyanogenMod/android_frameworks_av. In: review.cyanogenmod.org. 14. Juli 2015, archiviert vom Original (nicht mehr online verfügbar) am 19. Dezember 2012; abgerufen am 7. August 2015 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/review.cyanogenmod.org 
13. ↑ Stagefright Sicherheitslücke. Empfohlene Maßnahmen bis zum Sicherheitsupdate. In: areamobile.de. 29. Juli 2015, abgerufen am 30. Juli 2015. 
14. ↑ Stagefright Detector App
15. ↑ Stagefright: Vulnerability Details, Stagefright Detector tool released
16. ↑ Stagefright: Mission Accomplished? In: Exodus Intelligence. 13. August 2015, abgerufen am 15. August 2015. 
17. ↑ Googles Stagefright-Patch ist fehlerhaft. Googles Stagefright-Patch ist fehlerhaft. In: Golem.de. 14. August 2015, abgerufen am 15. August 2015. 
18. ↑ ^{a b} Nexus Security Bulletin – September 2015. 9. September 2015, abgerufen am 6. Oktober 2015 (englisch). 
19. ↑ Google Uploads LMY48M Bugfix Factory Images For The Nexus 4, 5, 6, 7, 9, And 10. In: Android Police. 10. September 2015, abgerufen am 10. September 2015. 
20. ↑ CyanogenMod Code Review. Change 105961 - Merged. In: review.cyanogenmod.org. 13. August 2015, archiviert vom Original (nicht mehr online verfügbar) am 19. Dezember 2012; abgerufen am 18. August 2015 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/review.cyanogenmod.org 
21. ↑ ^{a b} ciwrl: More Stagefright. 13. August 2015, archiviert vom Original (nicht mehr online verfügbar) am 13. August 2015; abgerufen am 14. August 2015.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.cyanogenmod.org 
22. ↑ ^{a b} Cyanogenmod bringt CM12.1-Release und Stagefright-Patches. In: Golem.de. 2. September 2015, abgerufen am 10. September 2015. 
23. ↑ Stagefright 2.0: Sicherheitslücke macht 1 Milliarde Android-Geräte angreifbar. In: Golem.de. 1. Oktober 2015, abgerufen am 6. Oktober 2015. 
24. ↑ ^{a b} Nexus Security Bulletin – October 2015. 5. Oktober 2015, abgerufen am 6. Oktober 2015 (englisch). 
25. ↑ Nexus Security Bulletin – November 2015. 2. November 2015, abgerufen am 7. Dezember 2015 (englisch). 
26. ↑ Nexus Security Bulletin – December 2015. 7. Dezember 2015, abgerufen am 7. Dezember 2015 (englisch). 
27. ↑ Stefan Beiersmann: Google stopft weitere Stagefright-Schwachstellen in Android. In: ZDNet.de. 3. November 2015, abgerufen am 7. Dezember 2015. 
28. ↑ Schutz vor Android-Schwachstelle: Telekom stellt MMS-Empfang vorübergehend um. In: telekom.com. 5. August 2015, abgerufen am 6. August 2015. 
29. ↑ Fairphone: Software update 1.8.7 log. 18. August 2015, ehemals im Original (nicht mehr online verfügbar); abgerufen am 23. August 2015.@1@2Vorlage:Toter Link/fairphone.zendesk.com (Seite nicht mehr abrufbar. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. 
30. ↑ Huawei: Stagefright Vulnerability in Multiple Huawei Android Products. 9. August 2015, abgerufen am 23. August 2015. 
31. ↑ Motorola: StageFright MMS messaging issue. Abgerufen am 23. August 2015. 
32. ↑ Sascha Ostermaier: Motorola nennt Details zum Stagefright-Patch, verteilt wird ab dem 10. August. In: Cashys Blog. 8. August 2015, abgerufen am 8. August 2015. 
33. ↑ Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer im Unklaren. In: heise.de. 7. August 2015, abgerufen am 8. August 2015. 
34. ↑ Nexus Security Bulletin – August 2015. 5. August 2015, abgerufen am 6. Oktober 2015 (englisch). 
35. ↑ Adrian Ludwig: An Update to Nexus Devices. In: Official Android Blog. 5. August 2015, abgerufen am 11. August 2015. 
36. ↑ LG Security Bulletins. In: LG. Abgerufen am 22. September 2017. 
37. ↑ Android Security Updates. In: Samsung Mobile Security. Abgerufen am 22. September 2017. 
38. ↑ Jörg Wirtgen: StageFright: Samsung- und Nexus-Geräte bekommen monatliche Sicherheitsupdates. In: heise.de. 5. August 2015, abgerufen am 6. August 2015. 
39. ↑ Daniel Cooper: LG commits to monthly Android security updates. In: Engadget. 7. August 2015, abgerufen am 8. August 2015. 
40. ↑ Hardening the media stack. In: Android Security Blog. 5. Mai 2016, abgerufen am 28. April 2017. 
41. ↑ Xiaowen Xin: Keeping Android safe: Security enhancements in Nougat. In: Google Security Blog. 6. September 2016, abgerufen am 28. April 2017.