Stagefright 2.0: Sicherheitslücke erlaubt Zugriff auf Android über MP3 & MP4
Android-Nutzer sehen sich erneut mit Sicherheitslecks konfrontiert. Während vor einigen Monaten noch MMS und Hangouts-Nachrichten mit speziellen Codes zum Ausnutzen mehrerer Schwachstellen genügten, reichen bei den neuentdeckten Lücken manipulierte Metadaten in MP3s oder Videos im MP4-Format.
Die Stagefright 2.0 titulierten Lecks wurden von Sicherheitsexperten der Zimperium zLabs entdeckt – jenem Unternehmen, das auch schon die vorherigen Stagefright-Schwachstellen aufdeckte. Betroffen seien alle Android-Versionen ab 1.0, also potenziell über eine Milliarde Geräte. Ab Android 5.0 müssen Angreifer eine zusätzliche Sicherheitshürde nehmen.
Schon das Verarbeiten einer korrumpierten MP3 oder eines MP4-Videos ermögliche es, schadhaften Programmcode auszuführen und dadurch die betroffenen Android-Geräte zu kapern. Anschließend hat der Angreifer alle Zugriffsrechte der Medienbibliothek, also unter anderem auch für Kamera und Mikrofon.
Der Nutzer muss entsprechende Dateien gar nicht mal bewusst abspielen, auch das Verarbeiten im Hintergrund reicht bereits aus. Dabei ist es unerheblich, ob die Multimedia-Datei im Browser oder einer App abgespielt wird. Beispielsweise können Nutzer auf manipulierte Webseiten gelockt werden, die korrumpierte Lieder oder Videos automatisch abspielen. Laut Zimperium hat es aber bisher noch keine Angriffe über die neu entdeckten Lücken gegeben.
Wurzel des Übels soll die Systembibliothek libutils sein, auf die viele Android-Bereiche zugreifen. Google wurde von Zimperium schon am 15. August benachrichtigt und hat die Lücke als Problem mit der Kennung CVE-2015-6602 versehen. Der Patch folge nächste Woche für Nexus-Geräte.
Ab Android 5.0 ist es für Angreifer etwas schwieriger, schadhaften Code via MP3 einzuschleusen. Außer dem Sicherheitsleck in libutils muss auch eine Lücke in der Systembibliothek libstagefright (CVE-2015-3876) ausgenutzt werden. Zudem muss der Nutzer die manipulierte Datei manuell öffnen. Für libstagefright hat Google, im Gegensatz zu libutils, noch keine Aktualisierung angekündigt.
Google hat mittlerweile einen Patch für die schon länger bekannten Stagefright-Schwachstellen veröffentlicht, welche über manipulierte MMS oder Hangouts-Nachrichten ausgenutzt werden konnten.