Android 'Stagefright' Exploit: Was Sie wissen müssen

Im Juli 2015 gab das Sicherheitsunternehmen Zimperium bekannt, dass es ein "Einhorn" einer Sicherheitslücke im Android-Betriebssystem entdeckt hat. Weitere Details wurden auf der BlackHat-Konferenz Anfang August öffentlich bekannt gegeben - jedoch nicht vor den Schlagzeilen, in denen erklärt wurde, dass fast eine Milliarde Android-Geräte möglicherweise übernommen werden könnten, ohne dass ihre Benutzer es überhaupt wüssten.

Was ist "Stagefright"? Und müssen Sie sich darüber Sorgen machen?

Wir aktualisieren diesen Beitrag ständig, sobald weitere Informationen veröffentlicht werden. Folgendes wissen wir und was Sie wissen müssen.

Was ist Stagefright?

"Stagefright" ist der Spitzname für einen potenziellen Exploit, der ziemlich tief im Android-Betriebssystem selbst steckt. Das Wesentliche ist, dass ein per MMS (SMS) gesendetes Video theoretisch als Angriffsmöglichkeit über den libStageFright- Mechanismus (daher der Name "Stagefright") verwendet werden kann, der Android bei der Verarbeitung von Videodateien unterstützt. Viele SMS-Apps - speziell die Hangouts-App von Google - verarbeiten das Video automatisch, sodass es angezeigt werden kann, sobald Sie die Nachricht öffnen. Daher kann der Angriff theoretisch auch ohne Ihr Wissen erfolgen.

Da libStageFright auf Android 2.2 zurückgeht, enthalten Hunderte von Millionen Handys diese fehlerhafte Bibliothek.

17.-18. August: Verbleibende Exploits?

Gerade als Google anfing, Updates für seine Nexus-Linie herauszubringen, veröffentlichte die Exodus-Firma einen Blog-Post, in dem sie snarky mitteilte, dass mindestens ein Exploit ungepatcht geblieben sei, was darauf hindeutet, dass Google den Code vermasselt hat. Die britische Veröffentlichung The Register zitiert einen Techniker von Rapid7 in einem freizügigen Artikel, der besagt, dass die nächste Korrektur im September mit dem Sicherheitsupdate erfolgen wird - Teil des neuen monatlichen Sicherheitspatching-Prozesses.

Google seinerseits muss sich noch öffentlich mit dieser neuesten Behauptung auseinandersetzen.

In Ermangelung weiterer Details neigen wir zu der Annahme, dass wir im schlimmsten Fall wieder da sind, wo wir angefangen haben - dass libStageFight Schwachstellen aufweist, aber dass es andere Sicherheitsebenen gibt, die die Möglichkeit von Geräten verringern sollten tatsächlich ausgenutzt werden.

Am 18. August veröffentlichte Trend Micro einen Blogbeitrag über einen weiteren Fehler in libStageFright. Es gab keinen Hinweis darauf, dass dieser Exploit tatsächlich verwendet wird, und Google veröffentlichte den Patch am 1. August im Android Open Source-Projekt.

Neue Stagefright-Details ab 5. August

Im Zusammenhang mit der BlackHat-Konferenz in Las Vegas, auf der mehr Details der Stagefright-Sicherheitsanfälligkeit öffentlich bekannt gegeben wurden, ging Google speziell auf die Situation ein. Der leitende Ingenieur für Android-Sicherheit, Adrian Ludwig, erklärte NPR, dass "derzeit 90 Prozent der Android-Geräte über eine Technologie verfügen genannt ASLR aktiviert, die Benutzer vor dem Problem schützt."

Dies steht im Widerspruch zu der Zeile "900 Millionen Android-Geräte sind anfällig", die wir alle gelesen haben. Ludwig meinte, dass Geräte mit Android 4.0 oder höher - das sind etwa 95 Prozent aller aktiven Geräte mit Google-Diensten - vor Zahlen geschützt sind Ein eingebauter Pufferüberlauf-Angriff.

ASLR (A ddress S pace L ayout R andomization) ist eine Methode, die einen Angreifer daran hindert, zuverlässig die Funktion zu finden, die er oder sie durch zufällige Anordnung von Speicheradressräumen eines Prozesses ausnutzen möchte. ASLR ist seit Juni 2005 im Standard-Linux-Kernel aktiviert und wurde Android mit Version 4.0 (Ice Cream Sandwich) hinzugefügt.

Wie ist das für einen Schluck?

Dies bedeutet, dass die Schlüsselbereiche eines laufenden Programms oder Dienstes nicht jedes Mal an der gleichen Stelle im RAM abgelegt werden. Wenn Sie Dinge zufällig in den Speicher verschieben, muss jeder Angreifer raten, wo er nach den Daten suchen soll, die er ausnutzen möchte.

Dies ist keine perfekte Lösung, und obwohl ein allgemeiner Schutzmechanismus gut ist, benötigen wir dennoch direkte Patches gegen bekannte Exploits, wenn sie auftreten. Google, Samsung (1), (2) und Alcatel haben einen direkten Patch für Stagefright angekündigt, und Sony, HTC und LG geben bekannt, dass sie im August Update-Patches veröffentlichen werden.

Wer hat diesen Exploit gefunden?

Der Exploit wurde am 21. Juli von der mobilen Sicherheitsfirma Zimperium im Rahmen einer Ankündigung für ihre jährliche Party auf der BlackHat-Konferenz angekündigt. Ja, das hast du richtig gelesen. Diese "Mutter aller Android-Sicherheitslücken", wie Zimperium es ausdrückt, wurde am 21. Juli angekündigt (eine Woche bevor sich anscheinend irgendjemand dafür entschieden hat, sich darum zu kümmern), und mit wenigen Worten die noch größere Bombe von "Am Abend des 6. August wird Zimperium es tun rock die Vegas Party Szene! " Und du weißt, es wird wütend, denn es ist "unsere jährliche Vegas-Party für unsere Lieblings-Ninjas", komplett mit einem rockigen Hashtag und allem.

Wie verbreitet ist dieser Exploit?

Auch hier ist die Anzahl der Geräte mit dem Fehler in der libStageFright- Bibliothek selbst ziemlich groß, da es sich um das Betriebssystem selbst handelt. Wie Google jedoch bereits mehrfach festgestellt hat, gibt es andere Methoden, mit denen Sie Ihr Gerät schützen können. Betrachten Sie es als Sicherheit in Schichten.

Sollte ich mir also Gedanken über Stagefright machen oder nicht?

Die gute Nachricht ist, dass der Forscher, der diesen Fehler in Stagefright entdeckt hat, "nicht glaubt, dass Hacker in freier Wildbahn ihn ausnutzen". Es ist also eine sehr schlechte Sache, dass anscheinend niemand etwas gegen jemanden unternimmt, zumindest dieser einen Person zufolge. Und wieder sagt Google, wenn Sie Android 4.0 oder höher verwenden, werden Sie wahrscheinlich in Ordnung sein.

Das bedeutet nicht, dass es kein schlechter potenzieller Exploit ist. Es ist. Darüber hinaus werden die Schwierigkeiten hervorgehoben, Updates durch das Hersteller- und Spediteur-Ökosystem zu verbreiten. Auf der anderen Seite ist dies eine potenzielle Möglichkeit für Exploits, die es anscheinend seit Android 2.2 - oder im Grunde genommen den letzten fünf Jahren - gegeben hat. Das macht Sie entweder zu einer tickenden Zeitbombe oder zu einer gutartigen Zyste, abhängig von Ihrer Sichtweise.

Im Juli wiederholte Google gegenüber Android Central, dass es mehrere Mechanismen zum Schutz der Nutzer gibt.

Wir danken Joshua Drake für seine Beiträge. Die Sicherheit der Android-Benutzer ist uns sehr wichtig. Daher haben wir schnell reagiert und bereits Patches für Partner bereitgestellt, die auf alle Geräte angewendet werden können.

Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die die Nutzung erschweren sollen. Android-Geräte enthalten auch eine Anwendungs-Sandbox, die zum Schutz von Benutzerdaten und anderen Anwendungen auf dem Gerät entwickelt wurde.

Was ist mit Updates zur Behebung von Stagefright?

Wir werden Systemupdates benötigen, um dies wirklich zu patchen. In seiner neuen "Android Security Group", die in einem Bulletin vom 12. August veröffentlicht wurde, veröffentlichte Google ein "Nexus Security Bulletin", in dem die Einzelheiten zu seinem Ende aufgeführt sind. Es gibt Details zu mehreren CVEs (Common Vulnerabilities and Exposures), einschließlich der Benachrichtigung der Partner (zum einen bereits am 10. April), die von Android bereitgestellte Fixes (Android 5.1.1, Build LMY48I) und andere mildernde Faktoren (das oben erwähnte ASLR-Speicherschema).

Google gab außerdem bekannt, dass Hangouts und Messenger-Apps aktualisiert wurden, damit sie Videonachrichten nicht automatisch im Hintergrund verarbeiten, "damit Medien nicht automatisch an den Mediaserver-Prozess weitergeleitet werden".

Die schlechte Nachricht ist, dass die meisten Leute darauf warten müssen, dass die Hersteller und Betreiber die Systemaktualisierungen veröffentlichen. Aber auch hier sprechen wir von 900 Millionen anfälligen Telefonen, aber auch von null bekannten Fällen von Ausbeutung. Das sind ziemlich gute Chancen.

HTC hat gesagt, Updates von hier aus werden das Update enthalten. Und CyanogenMod integriert sie jetzt auch.

Laut Motorola werden alle Telefone der aktuellen Generation - vom Moto E bis zum neuesten Moto X (und alles dazwischen) - gepatcht. Dieser Code wird ab dem 10. August an die Netzbetreiber gesendet.

Am 5. August veröffentlichte Google neue Systemabbilder für das Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 und Nexus 10. Google gab außerdem bekannt, dass monatliche Sicherheitsupdates für die Nexus-Linie für die Nexus-Linie veröffentlicht werden. (Der zweite öffentlich veröffentlichte Build von M Preview scheint ebenfalls bereits gepatcht zu sein.)

Und obwohl er den Stagefright-Exploit nicht namentlich genannt hat, hat sich Google-Chef Adrian Ludwig auf Google+ bereits mit Exploits und der Sicherheit im Allgemeinen befasst und uns erneut an die zahlreichen Ebenen erinnert, die zum Schutz der Nutzer beitragen. Er schreibt:

Es gibt eine verbreitete, irrtümliche Annahme, dass jeder Softwarefehler in einen Sicherheits-Exploit umgewandelt werden kann. In der Tat sind die meisten Bugs nicht ausnutzbar und es gibt viele Dinge, die Android getan hat, um diese Chancen zu verbessern. Wir haben in den letzten vier Jahren viel in Technologien investiert, die sich auf eine Art von Fehlern konzentrieren - Speicherfehler - und versucht, die Ausnutzung dieser Fehler zu erschweren.