Exploit Metaphor kann ältere Android-Geräte infizieren
In einer Vorführung benötigten Sichehreitsforscher damit lediglich 20 Sekunden. Gefahr besteht für Geräte mit den Android-Versionen 2.2 bis 4.0. Den Sicherheitsforschern von NorthBit zufolge kann der von ihnen entwickelte Exploit Metaphor aber auch ASLR unter Android 5.0 und 5.1 umgehen.
Sicherheitsforscher haben einen weiteren Exploit für Sicherheitslücken in der von Android verwendeten Multimedia-Bibliothek Stagefright offengelegt. Dem Team von NorthBit zufolge lässt sich damit ein Gerät in weniger als 20 Sekunden erfolgreich angreifen. Der “Metaphor” genannte Angriff sei eine Gefahr für Millionen ältere Android-Geräte.
Das israelische Team erklärt in seinem Forschungsbericht (PDF), dass der Exploit sich für Geräte mit den Android-Versionen 2.2 bis 4.0 eigne. Er könne aber auch die Schutztechnik Address Space Layout Randomization (ASLR) umgehen, die in Android 5.0 und 5.1 verwendet wird. Diesbezügliche Berichte gab es bereits im Herbst von Googles eigenem Forscherteam.
Androids Multimedia-Bibliothek war vergangenen Sommer in die Schlagzeilen geraten, als das Sicherheitsunternehmen Zimperium eine Reihe von Schwachstellen in der Medienwiedergabe-Engine entdeckte und einen Exploit öffentlich machte. Es nannte sie damals “die schlimmsten Android-Lücken, die bisher aufgedeckt wurden”. Ein großes Problem ist, dass Google zwar Patches entwickelt und bereitgestellt hat, Gerätehersteller sie aber selbständig implementieren müssen, worauf sie bei vielen älteren Modellen verzichten. Diese bleiben somit für die Lücken anfällig.
Um die in Stagefright enthaltenen Schwachstelle auszunutzen, muss ein Angreifer sein Opfer nur auf eine Webseite locken, die eine manipulierte MPEG4-Mediendatei anbietet. Wird diese ausgeführt, stürzt Androids Medienserver ab, wodurch das System zurückgesetzt wird. Nach einem Neustart leitet auf der Website gehosteter JavaScript-Schadcode dann Gerätedaten an die Server der Angreifer weiter.
Der Metaphor-Server sendet nun eine manipulierte Videodatei, welche die Lücke ausnutzt, und sammelt weitere Informationen über die auf dem Gerät vorhandenen Sicherheitsvorkehrungen. Über eine zweite übermittelte Videodatei, die von der Multimediabibliothek verarbeitet wird, bringen die Angreifer dann Malware auf das Smartphone. Der Angriff nutzt die Lücke CVE-2015-3864 aus, die Remotecodeausführung, das Auslesen von Informationen, Überwachung und die Übernahme des Geräts ermöglicht.
Die Entwickler des Exploits weisen darauf hin, das derzeit rund 23,5 Prozent aller Android-Geräte mit den Versionen 5.0 und 5.1 des Betriebssystems laufen. Das entspreche etwa 235 Millionen Geräten. 4 Prozent der installierten Android-Versionen nutzten zudem keinen ASLR-Schutz, womit 40 Millionen Mobilgeräte für den Exploit anfällig seien. “Angesichts dieser Zahlen ist es schwer, zu begreifen, wie viele Geräte möglicherweise gefährdet sind”, so die Forscher.
Google hat bereits einige Patches für die Stagefright-Lücken veröffentlicht. Der letzte davon kam erst Anfang des Monats und soll die Schwachstelle CVE-2016-0824 beseitigen, die das Auslesen von Daten via Stagefright erlaubt.
In einem Proof-of-Concept-Video demonstrieren die NorthBit-Forscher ihre Angriffsmethode auf einem Nexus 5, auf dem es lediglich 20 Sekunden dauert, bis sie erfolgreich waren.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de