Forscher melden neun Schwachstellen in Androids VoIP-Komponenten

Einige wurden bereits 2017 beseitigt. Die Forscher untersuchen allerdings bisher nur Android 7 bis Android 9. In einem Fall ist sogar das Einschleusen und Ausführen von Schadcode aus der Ferne möglich.

Ein Team aus Forschern des Handyherstellers Oppo, der Chinese University of Hongkong und der Singapore Management University haben insgesamt neun Sicherheitslücken in den Voice-over-IP-Komponenten von Googles Mobilbetriebssystem Android entdeckt. Sie erlauben es, nicht autorisierte VoIP-Anrufe zu starten, beliebige Anrufe abzulehnen, Anrufer-IDs zu fälschen und unter Umständen sogar Schadcode einzuschleusen und auszuführen.

(Bild: Kheng Guan Toh/Shutterstock)Bisher hatten sich Sicherheitsexperten in erster Linie mit VoIP-Equipment, Servern und mobilen VoIP-Apps beschäftigt, jedoch nicht mit der VoIP-Software von Android. Dafür entwickelte das Forscherteam über einen Zeitraum von mehreren Jahren drei Methoden für die Suche nach Schwachstellen, mit denen sie systematisch die VoIP-Komponenten durchkämmten.

Im Lauf der Zeit nahmen sie unter anderem die System-APIs für Interaktionen mit den nativen VoIP-Komponenten und die verschiedenen VoIP-Protokolle wie SIP, SDP und RTP unter die Lupe. Die Funde sicherten sie schließlich mit manuellen Code-Audits ab. Zudem prüften sie nur aktuelle Android-Versionen von 7.x Nougat bis 9.0 Pie. Dabei kamen insgesamt neun Anfälligkeiten zutage.

Die erste Schwachstelle erlaubt es, über die offizielle App des russischen sozialen Netzwerks vKontakte einen VoIP-Anruf in der App zu starten oder die Umgebung des Nutzers abzuhören. Eine Interaktion mit dem Nutzer ist für diesen Angriff nicht erforderlich.

Eine schädliche App kann indes zwei lokale APIs missbrauchen und ankommende Gespräche ohne Zustimmung des Nutzers weiterleiten. Dieses Loch wurde allerdings schon 2017 gestopft.

Ein langer SIP (1043 Zeichen) erlaubt es, Spam-Anrufe zu starten, die sich nicht ablehnen lassen. Eine Häufung solcher Anrufe in kürzester Zeit kann ein Smartphone sogar vorübergehend unbrauchbar machen, was der Definition eines Denial-of-Service-Angriffs entspricht. In aktuellen Android-Versionen soll Google jedoch schon die Zahl der SIP-Zeichen einschränken.

Ebenfalls 2017 wurde eine Lücke gepatcht, die auch Denial-of-Service-Attacken ermöglichte. Speziell gestaltete SDP-Pakete lösten bis dahin einen Absturz des Geräts des Empfängers aus. Mit Android Oreo wurde zudem ein Fix für eine Schwachstelle eingeführt, die eine Remotecodeausführung erlaubte. Ein Anrufername mit mehr als 513 Byte löste in älteren Versionen einen Pufferüberlauf aus.

Eine weitere Anfälligkeit beruht darauf, dass Android und das SIP-Protokoll bestimmte Zeichen unterschiedlich behandeln. Das „&“-Zeichen wiederum bereitet Probleme, weil es vom Telefonnummernformat PSTN nicht unterstützt wird. Android liest deswegen nur die Ziffern vor dem „&“-Zeichen, was sich für Spoofing missbrauchen lässt. Das PSTN-Format ist aber auch der Ausgangspunkt von Spoofing-Angriffen, weil es einen Phone-Context genannten Parameter nutzt. Dieser wird zur Vorwahl einer Telefonnummer., die es jedoch bei VoIP-Anrufen nicht gibt. Die Telefon-App setzt den Parameter trotzdem um und fügt Ziffern zu einer Telefonnummer hinzu, die jedoch nur angezeigt wird.

Zum Zeitpunkt der jeweiligen Entdeckung waren alle Schwachstellen Zero-Day-Lücken. Sechs Sicherheitslücken lassen sich aus der Ferne ausnutzen, drei setzen einen lokalen Zugang (beispielsweise per schädlicher App) oder gar einen physischen Zugriff voraus.

WEBINAR

Webinar: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das für den 17. Oktober 2019 um 10:00 Uhr geplante Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet.

Themenseiten: Android, Google, Security, Sicherheit, VoIP

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher melden neun Schwachstellen in Androids VoIP-Komponenten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *