Stagefright: ein Albtraum für Googles Android-Software-Ökosystem

logo google stagefright aa»Der Stagefright-Bug veranschaulicht ganz deutlich einige der wichtigsten Probleme mit dem Android-Ökosystem. Das Konzept, Hardware zu kaufen, auf der nicht patch-fähige Software ohne Support läuft, ist aus Sicherheitsperspektive schlicht beunruhigend – und die Verbraucher nehmen diese Realität nicht wahr.

Im Hinblick auf die Verwundbarkeit durch eine Sicherheitslücke ist Stagefright ideal für den Angreifer und ein Albtraum für Googles Android-Software-Ökosystem. Angreifer können mit einer Textnachricht ganz unauffällig die vollständige Kontrolle über ein Smartphone übernehmen. Das Schlimmste daran: Der rechtmäßige Besitzer bleibt völlig unwissend darüber, dass jemand anders das Gerät bedient, und hat keinen ersichtlichen Anlass, zu handeln.

Ein entsperrtes Telefon einem Fremden auszuhändigen, ist fast undenkbar, denn das mobile Gerät ist heute eine Erweiterung der eigenen Persönlichkeit. Es enthält wichtige Termine (Erinnerungen), kommuniziert mit anderen (E-Mail, Social Media), hält wichtige Eindrücke fest (Bilder, Notizen), hat Zugang zur der persönlichen Umgebung des Nutzers (Mikrofon, Videokamera) und führt vertrauliche Geschäftsvorgänge im Namen des Nutzers aus (Online-Banking, Aktienhandel, Altersvorsorge, Authentifizierung etc.).

Es geht hier nicht nur um eine beängstigende Sicherheitslücke und den wichtigen Beitrag, den Joshua Drake mit seiner Forschung geleistet hat. Stagefright verdeutlich auch, wie abhängig wir von Programmiercode geworden sind; und wie ignorant, uninformiert und unfähig wir sind, uns zu schützen, vor allem, wenn die Anbieter sich nicht um neue Schwachstellen kümmern.

Anzeige

Es spielt keine Rolle, wer ein Gerät baut: Wenn es Software nutzt, dann braucht es regelmäßige Updates. Aufgrund dieser Sicherheitsanfälligkeit sollten Android-Nutzer ihre Netzbetreiber kontaktieren, um herauszufinden, wann ein Patch zur Verfügung gestellt wird. Anwender, die ein neues Mobilgerät kaufen, sollten den Kauf direkt vom Hersteller – Apple, Google, etc. – erwägen. Dies ermöglicht es am ehesten, Updates und Patches direkt zu erhalten, ohne darauf zu warten, dass Netzbetreiber ihre eigene Software aktualisieren, testen und herausgeben.«

Trey Ford, Global Security Strategist, Rapid7 (https://www.rapid7.com/)


Kommentar von Michael Rudrich von Centrify zum Stagefright Android Hack

Eine Sicherheitslücke in Googles Betriebssystem Android bedroht Millionen Smartphones. Anfällig ist die Multimedia-Schnittstelle »Stagefright«, über die Hacker mit manipulierten MMS Schadcode auf betroffene Mobilgeräte einschleusen können.

Anzeige

»Bei solchen Angriffen verfolgen Hacker immer dasselbe Ziel: an möglichst viele Passwörter zu gelangen«, sagt Michael Rudrich, Regional Sales Director EMEA East beim Identity-Management- Spezialisten Centrify. »Passwörter sind der Schlüssel zu unserer Identität und unserem Geld. Daher erfinden Hacker ständig neue Wege, um Passwörter zu stehlen – auch von Smartphones und Tablets. Unternehmen und Endnutzer müssen daher mobile Endgeräte mit denselben Sicherheitsmaßnahmen ausstatten wie Laptops oder PCs«, führt Rudrich weiter aus. »Unternehmen sollten Lösungen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) implementieren, um Passwörter zu schützen und ihre Anwendungen vor Angriffen zu schützen.«

»Bis ein Patch die Sicherheitslücke schließt, sollten Nutzer drei Schritte unternehmen, um sich vor einem Angriff zu schützen: Den automatischen Download von MMS Inhalten abstellen und MMS von unbekannten Sendern ignorieren. Wird der Patch bereitgestellt, sollten sie diesen so schnell wie möglich installieren. Wenn die richtigen Schritte unternommen werden, können solche Gefahren gebannt werden.«


Derzeit kursiert ein versteckter Bug mit dem Namen »Stagefright«, der 95 Prozent der Android-User angreifbar macht. Betroffen sind sowohl Smartphone- als auch Tabletnutzer mit Android als Betriebssystem. Der Bug existiert in einer Medienbibliothek, die von Android genutzt wird, um gängige Dateiformate anzuzeigen und zu lesen.

Arved Graf von Stackelberg, General Manager DACH und Director Central Europe von Application Security-Spezialist Veracode, nimmt hierzu Stellung: »Stagefright ist wie Heartbleed für Mobile – eine von außen angreifbare Schwachstelle, von der Millionen Android-basierter Smartphones und Tablets betroffen sind. Solche Bugs sind äußerst selten und stellen ernsthafte Sicherheitslücken für die Anwender dar. Sie werden ohne Klick auf einen Link ausgeführt, es öffnet sich automatisch eine Datei oder eine SMS. Alles, was ein Angreifer tun muss, ist eine MMS an das entsprechende Gerät des Nutzers zu senden und abzuwarten. Die Malware übernimmt alles weitere. Es wird besonders interessant zu sehen, wie Google auf das Problem reagiert. Ein entsprechender Patch muss schnell und umfassend auf jedem betroffenen Gerät zur gleichen Zeit installiert werden. Wenn wir darauf warten, dass die Handy-Hersteller oder –Betreiber selbst einen Patch herausbringen könnte ein Monat oder mehr vergehen. Und da das auch nicht bei allen gleichzeitig passieren wird, hätte ein Angreifer die Möglichkeit, den ersten veröffentlichten Patch zu analysieren und einen Gegenangriff zu starten, von dem letztendlich alle Geräte betroffen wären. Wir rechnen daher damit, dass Google hier eine Lösung bereitstellen wird.«


 

Das Bundesamt für Sicherheit in der Informationstechnik informiert dazu:

Betroffene Systeme

Google Android Operating System

Google Android Operating System ab 2.2

Google Android Operating System vor 4.1

Google Android Operating System bis einschließlich 5.1

Empfehlung

Wenn Sie eine Android-Version, die älter als 4.1 ist, nutzen, nehmen Sie, sofern das für Ihr Gerät möglich ist, ein Update auf 4.1 oder höher vor. Ist ein Update nicht möglich, können Sie sich an Ihren Firmware-Hersteller wenden, um die Verfügbarkeit von Sicherheitsupdates zur erfragen. Aktuell stehen nur für Nutzer der alternativen Android-Distribution CyanogenMod Sicherheitsupdates für Version 12 bereit, die möglichst zeitnah aktiviert werden sollten.

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

Mehrere Schwachstellen erlauben einem Angreifer aus dem Internet, durch das Senden einer multimedialen Kurznachricht, Schadsoftware auf Ihr Smartphone zu bringen und diese auszuführen, ohne dass Sie es bemerken. Darüber erhält der Angreifer die Möglichkeit auf die Mediengalerie und die Bluetooth-Schnittstelle zuzugreifen oder Audio-Mitschnitte und Videos aufzuzeichnen. In einigen Fällen, in denen der Multimedia-Dienst mit Systemrechten läuft, kann das System komplett übernommen werden.

Quellen
CyanogenMod Security Update: https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
Heise Security: Android-Smartphones über Kurznachrichten angreifbar https://www.heise.de/security/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html