Stagefright-Bilanz: 115 Android-Patches innerhalb eines Jahres

Die vor einem Jahr erstmals gesichtete Android-Sicherheitslücke Stagefright hat die Sicherheitslandschaft für Mobilgeräte nachhaltig verändert. Zu diesem Schluss kommt ihr Entdecker, dern Sicherheitsforscher Joshua Drake von Zimperium, im Gespräch mit eWeek. Nach seiner Zählung hat Google in den vergangenen zwölf Monaten 115 Patches für Lücken im Zusammenhang mit dem Android Media Server herausgegeben.

Von diesen 115 Lücken nach dem Katalog für Common Vulnerabilities and Exposures, kurz CVE, steckten 49 direkt in libstagefright, 35 in libmedia und 31 in anderen Libraries, die libstagefright benötigt. Er habe Stagefright nicht als isolierte Einzellücke gesehen, die große Zahl an Problemen sei aber auch für ihn überraschend gewesen, erklärte Drake.

Während Drake auf das ursprüngliche Stagefright stieß, haben Kollegen später auf viele der verwandten Schwachstellen hingewiesen. Drake sieht das als Zeichen, dass Android Security Rewards – eine Ausweitung von Googles Prämienprogramm für Sicherheitslücken – funktioniert. Er selbst hat für Hinweise im Zusammenhang mit Stagefright rund 50.000 Dollar von Google erhalten – bei einer fürs erste Jahr von Google genannten Prämiensumme von 550.000 Dollar.

Stagefright und seine Nachwehen führten dazu, dass Google ein monatliches Patchprogramm einführte, in Kooperation mit einer ganzen Reihe führender Hardwarehersteller. Da aber dennoch längst nicht alle betroffenen Android-Geräte die bereitgestellten Patches erhalten, sondern oft nur einige wenige Spitzenmodelle, wird Stagefright nach Einschätzung von Drake auch weiter ausgenutzt.

„Wir glauben, dass Schwachstellen vom Stagefright-Typ in der Vergangenheit und auch gegenwärtig für gezielte Angriffe genutzt werden“, sagt der Zimperium-Forscher. „Wie das bei gezielten Angriffen so ist, fällt die Erkennung aber schwer.“

Das ursprüngliche Stagefright konnte ausgenutzt werden, indem man ein Video per MMS an ein betroffenes Android-Gerät sandte. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen, informierte Zimperium damals. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten oder können aus der Ferne die Kontrolle über Kamera und Mikrofon übernehmen.

Kurze Zeit später fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde. Die von Drake erwähnten weiteren 113 Lücken folgten.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.