03.08.2015 15:29

Der Stagefright Bug

Bald ist die Blackhat Konferenz in Vegas und der Schwachstellen-Zirkus rundherum ist im vollen Gange. Aktuell sind eine Reihe von Verwundbarkeiten in der Stagefright Library von Android groß im Gespräch. Was steckt da dahinter:

Stagefright ist einen Programmbibliothek zum Abspielen von Multimedia-Inhalten auf Android Geräten. Das Dekodieren von diesen komplexen Dateiformaten führt zu ausgesprochen nicht-trivialem Code, in dem regelmäßig Fehler gefunden werden, die zu Remote Code Execution führen können. Man schaue sich nur den Security Track Record von mplayer, vlc, Quicktime & co an.

Gefunden haben den aktuellen Bug Forscher von Zimperium, die ihre Erkenntnisse in einem Blog-Artikel darlegen. Die machen damit natürlich Werbung für ihr Produkt und ihren Vortrag auf der Blackhat.

Inzwischen schreibt die ganze Branche zu dem Thema, etwa:

Wir haben uns noch etwas zurückgehalten. Warum?

  • Der Scope ist unklar. Das ist eine System-Library. Bewiesen ist die Verwundbarkeit mittels MMS, zu den anderen Applikationen/Vektoren fehlen genauere Informationen. Kann man den Bug auch per Mail mittels Attachment triggern? Im Webbrowser mit embedded Video? Oder nur bei Downloads? Oder hängt das vom installierten Media-player ab? (So etwa bringt VLC seine eigenen Codecs mit)
  • Damit ist auch die Mitigation schwierig. Wenn man nur MMS im Blickwinkel hat, dann kann man mit ein paar Konfigurationseinstellungen das Risiko verkleinern. Wenn man etwa das automatischen Downloaden des MMS-Contents abdreht, dann braucht es wenigstens eine Interaktion des Users, um ein Smartphone zu übernehmen. Aber was ist mit den anderen möglichen Vektoren? Brutal gesprochen muss man aktuell jegliche Datendienste abdrehen, um sicher zu sein.
  • Wir wissen nicht, wie sehr schon providerseitig ein AV-Filter böse MMS abfängt. Falls das dort möglich ist (Warum nicht? MMS setzt technisch auf ganz normale Internet-Protokolle auf.) und auch gemacht wird, dann ist der Vektor MMS plötzlich harmlos und die Schlagzeilen in der Art von "Die bösen Killer-MMS bedrohen eure Smartphones!" sind dann komplett daneben
  • Das Android-Ökosystem hat ein ernsthaftes Problem mit der Verteilung von Sicherheitsupdates. Das mag ja bei der Google-eigenen Nexus-Serie noch halbwegs funktionieren (wobei ich mir nicht sicher bin, wie sehr etwa ein Galaxy Nexus noch Updates bekommt). Auch diverse alternativen Android-Versionen wie Cyanogen schaffen das noch gut. Schwieriger wird es mit den Samsungs, LGs, Sonys, Huaweis & co: Dort muss der Patch auch noch in deren Android-Versionen eingebaut und verteilt werden. Wenn dann noch ein Netzbetreiber bei den von ihm verkauften Telefone nochmal Spezialerweiterungen einbauen hat lassen, dann muss das Updaten auch noch durch diese Pipeline durch. Das dauert.
  • Falls es überhaupt noch Updates gibt. Für viele der Android-Geräte, die aktuell in Betrieb sind, gibt es keinerlei Support mehr. Das ist ein bekanntes Problem, und wird bei jeder neu entdeckten Sicherheitslücke mal wieder mit einem Schulterzucken angesprochen.
  • Was heißt das alles jetzt für uns als CERT? Wir können aktuell nicht viel mehr schreiben als "Wenn ihr Glück habt, gibt es schon Updates, installiert diese. Wenn nicht, gäbe es da ein paar Feigenblatt-Aktionen, die vielleicht etwas helfen. Oder macht eure Smartphone zum Offline-Phone."

Wir hoffen noch, dass in den nächsten Tagen bessere Informationen verfügbar werden, welche Angriffsvektoren wirklich möglich sind, und wann man für welche Modelle mit Updates rechnen kann.

Update (3. Aug)

Anscheindend hat Trend Micro den Bug auch (und unabhängig von Zimperium) gefunden. Deren Blogeintrag enthält weitere Details und bestätigt, dass MMS nur einer der möglichen Vektoren ist.

Autor: Otmar Lendl