Warum die Stagefright-Sicherheitslücke für jeden Android-Nutzer gefährlich ist

  • 5. Oktober 2015
  • 9 min Lesezeit

Eine Sicherheitslücke bei Android namens Stagefright wurde bei der Black Hat-Konferenz 2015 Anfang August publik gemacht. Wahrscheinlich haben Sie davon gehört, wie die Warnung durch die Medien ging, derzufolge Millionen Handys mit einer einzigen Nachricht gehackt werden könnten; doch stimmt das wirklich so? Falls ja, sollte Google (als Entwickler von Android) das Problem auf dem beliebten Betriebssystem doch sicherlich längst behoben haben, oder?

Was ist Stagefright und warum ist es so Besorgnis erregend?

Heutzutage gehören regelmäßige Sicherheitslücken, Bugs und Warnmeldungen in technischen Belangen schon irgendwie dazu. Wieso sich auch verrückt machen, wenn es letzten Endes doch Sicherheitspatches dafür gibt, nicht wahr?

Leider ist die Sache bei der Stagefright-Sicherheitslücke nicht so einfach. Denken Sie an einen Katastrophenfilm, in dem ein riesiger Asteroid sich auf unheilvollem Kollisionskurs mit der Erde befindet und die Wissenschaftler trotz ihrer tollen Technologie keinen Weg finden, ihn auf eine andere Bahn zu lenken. Genauso verhält es sich im Prinzip mit Stagefright; denn auf Grund des Aufbaus des Android-Universums wird man sich in absehbarer Zeit nicht um das Problem kümmernund es ist lediglich eine Frage der Zeit, bis Stagefright auf zahllosen Geräten für katastrophale Folgen sorgt.

(image: pocket-lint.com)

(Bild: pocket-lint.com)

Sie könnten im Moment eine seltsame Videonachricht erhalten, müssten diese noch nicht einmal öffnen – doch schon spioniert bereits ein Gauner auf der anderen Seite der Welt Sie mit Ihrer eigenen Kamera aus. Und das ist nur eine der Möglichkeiten.

Sobald ein Hacker sich über die Stagefright-Sicherheitslücke Zugriff auf Ihr Gerät verschafft, kann er auf Adressbuch, Apps, Nachrichtenverlauf, persönliche E-Mails und alle Daten, die mit Ihrem Google-Konto verknüpft sind, zugreifen. Somit sind sämtliche Daten, die mit Ihrem Google-Konto verknüpft sind (von Gmail bis Google Drive) einem großen Risiko ausgesetzt. Kontodaten, Surfverlauf, persönliche Nachrichten und geheime Arbeitsdokumente etc. um nur einige zu nennen …

Sie sollten sich also dessen bewusst sein, dass nicht nur Ihr Handy an sich gefährdet ist, sondern Ihr gesamtes digitales Leben.

Wie funktioniert Android eigentlich genau?

Zum richtigen Verständnis der Stagefright-Sicherheitslücke wollen wir uns zunächst die Android-Architektur genauer ansehen. Android ist ein sehr modernes Betriebssystem, weshalb alles in getrennten Prozessen abläuft. Dies erfolgt zum Teil über die Virtual Machine namens Dalvik. Dalvik ist Bestandteil der meisten Android-Handys ist wurde erst in Android 5.0 vollständig durch Android Runtime ersetzt. Dadurch können Apps getrennt und unabhängig vom Linux-Kernel ausgeführt werden, und es wird verhindert, dass Apps miteinander oder dem Betriebssystem in Konflikt geraten.

android_appsSo stützen sich Programmprozesse auf IPC (Inter-Process Communication), um miteinander zu kommunizieren. Diese Technik ist als Sandboxing bekannt, wodurch Anwendungen isoliert werden und die Sicherheit insgesamt erhöht wird.

Stagefright ist eine C++-Komponente des Android-Medienservers, die sich um die Verarbeitung und Abspielung von Medien, also alle Video- und Audio-Dateien, kümmert. Ebenso dient es dem Extrahieren von Metadaten für die Galerie (z. B. Vorschaubilder oder Abmessungen von Videos).

So wirkt sich Stagefright aus

Es mag auf den ersten Blick so erscheinen, dass Ihr Telefon vor der Sicherheitslücke sicher sein sollte, weil die Programme auf Ihrem Handy ja in einer Sandbox ausgeführt werden. Während durch die Android-Architektur aber Programme daran gehindert werden sollen, miteinander in Konflikt zu geraten, handelt es sich beim Medienserver um einen Dienst mit Privilegien. Dadurch hat der Medienserver u.a. Zugriff auf Audio, Bluetooth, Kamera, Internet. Schlimmer noch: viele Handy-Hersteller haben dieser Stagefright-Komponente umfassende Rechte auf ihren Geräten eingeräumt, die nur knapp unter Root-Zugriff liegen.

Einfach gesagt: Ein Hacker könnte relativ einfach Zugriff auf Ihr gesamtes Gerät erhalten.

Ein Angreifer benötigt lediglich Ihre Telefonnummer für einen erfolgreichen Hackversuch. Dann könnte er aus der Ferne über ein Video, das er via MMS gesendet hat, Code auf Ihrem Telefon ausführen. Ihrerseits ist keinerlei Eingreifen erforderlich, da Android-Handys so voreingestellt sind, dass Videos automatisch vorgeladen werden. Der Angreifer kann sogar nach dem Senden die eigentliche Nachricht löschen, sodass für Sie lediglich eine merkwürdige Benachrichtigung bleibt.

Das klingt erschreckend, ist aber noch lange nicht alles. In Wahrheit ist dies nur eine Möglichkeit, die Sicherheitslücke auszunutzen. Weitere Möglichkeiten schlummern im Verborgenen und warten nur darauf, von den Hackern weltweit aufgedeckt zu werden.

Wer ist dahinter gekommen?

Joshua J. Drake, ein Android-Sicherheitsexperte ist Senior Director of Platform Research bei Zimperium Enterprise Mobile Security und der Autor von “Android Hacker’s Handbook”. Ebenso ist er der Gründer der Forschungsgruppe #droidsec, einer Forschungs-Community mit Fokus auf Android.

Mit Unterstützung von Zimperium und Optiv führte Drake eine Sicherheitsuntersuchung mit einer “Android-Armee” durch, einer Sammlung von 51 Android-Geräten. In seiner Präsentation auf der Black Hat-Konferenz in Las Vegas können Sie mehr darüber erfahren, wie er seine Forschungen anstellt.

Ein zersplittertes Android-Universum

Android ist eines beliebtesten Betriebssysteme der Welt und kann auf eine einzigartige Geschichte zurückblicken. Die Entwicklung schreitet unglaublich schnell voran, aber diese rasante Geschwindigkeit hat durchaus ihren Preis. Da Gerätehersteller und Anbieter das Betriebssystem auf Grund seiner Open-Source-Natur anpassen können, führt diese zu besonderen Anforderungen bei Updates und Patches – derzeit gibt es über 24.000 Modelle mit Android.

Das größte Problem dieser Sicherheitslücke ist eben, wie der Ars Technica Autor Ron Amadeo darlegt, dass Gerätehersteller den Code von Android an ihre Geräte anpassen können. Denn dies führt zu einer unvorstellbaren Menge an Patches, die bereitgestellt werden müssten, damit die meisten Android-Handys geschützt werden können. Doch kein Unternehmen, Team oder sonstige Organisation allein ist mit der Überwachung dieses Problems betraut. Da Updates meist nur für neuere Modelle bereitgestellt werden und viele Updates von einer Unmenge an Herstellern und Anbietern verteilt werden müssten, bleiben so bis zu Hundertmillionen Geräte auf unbestimmte Zeit von dieser und anderen Sicherheitslücken betroffen.

Was wird dagegen getan?

Google sowie eine Reihe von Herstellern und Anbietern haben mit Patches für die folgenden Geräte reagiert.

Zimperium hat ebenfalls seine ZHA Alliance ins Leben gerufen, um das Problem der mangelnden Kommunikation zwischen wichtigen Herstellern und Anbietern anzugehen. Zimperium verkündete treffend: „Wie wir das Android-Universum verstehen, werden Sicherheitsprobleme, die Google gemeldet werden, nur aktiven Partnern mitgeteilt.“

Zimperium bietet ebenso eine App zur Stagefright-Erkennung an, mit der Sie erkennen können, ob Ihr Gerät von der Sicherheitslücke betroffen ist.

Wo liegt also das Problem?

Wenn Sie denken, dass es zu keinen weiteren Problemen kommen sollte, da ja letztlich Patches nach und nach verteilt werden, sind Sie leider im Irrtum. Sicherlich werden die Patches nach und nach an ältere Geräte verteilt, und Zimperium tut seinen Teil, die Kommunikation zwischen Google, den Anbietern und Herstellern zu verbessern

Selbst dann besteht immer noch ein Problem mit dem ersten Patch von Google. Der Sicherheitsexperte Jordan Gruskovnjak von Exodus Intelligence hat gemeldet, dass der erste Patch von Google sich als ungeeignet erwiesen hat. Das Team von Exodus konnte eine MP4-Datei erstellen, mit der dieser Patch umgangen werden könnte. Laut Exodus meldet selbst die Stagefright-Erkennungs-App von Zimperium, das Handy sei sicher, wenn dies nicht der Fall ist.

Google hat auf das Problem reagiert, wie aus einer Stellungnahme gegenüber The Verge hervorgeht: „Wir haben bereits den Patch an unsere Partner verteilt, um so unsere Nutzer zu schützen, und das Nexus 4/5/6/7/9/10 und der Nexus Player erhalten bei Monats-Sicherheitsupdate im September das OTA-Update.“

Zu allem Übel hat Rob Miller bei MWR Labs eine weitere Sicherheitslücke aufgedeckt, mit Hilfe derer die Sandbox umgangen werden kann. Diese Sicherheitslücke wurde bereits im März gemeldet, doch Google hat nach wie vor dafür kein Sicherheitspatch veröffentlicht. Rechercheure bei Trend Micro sind angeblich ebenfalls auf eine Sicherheitslücke gestoßen, diesmal im in Android-Medienserver, welche im Juni an Google gemeldet wurde und gegen die Google Anfang August einen Patch bereitstellte.

Die traurige Wahrheit: selbst wenn sich das nächste Patchupdate von Google als geeignet erweist, so ist das gesamte Problem noch lange nicht behoben. Der Medienhype um Stagefright hat eines gezeigt: Android wird von einigen großen Sicherheitslücken geplagt, und durch die ungenügende Kommunikation zwischen Anbietern und Herstellern wird deren Behebung beinahe ein unmögliches Unterfangen.

Was Sie tun können

Sofern Sie ein Android-Handy mit Version 2.2 oder neuer ihr Eigen nennen, mag es erscheinen, dass Ihnen die Hände gebunden sind. Doch wir raten Ihnen dazu, alles dafür zu tun, Ihre Sicherheit in die eigenen Hände zu nehmen.

Es stimmt durchaus, dass Ihre Möglichkeiten, Ihr Gerät angesichts all der Sicherheitslücken zu sichern, beschränkt sind, aber in nur wenigen Schritten können Sie trotzdem selbst etwas verbessern. Diese Tipps lassen sich nicht nur mit Android-Geräten beherzigen.

Ändern Sie Ihre Einstellung(en)

Zimperium mag – ebenso wie die Medien in der Folge – auf die Möglichkeit zur Ausnutzung der Schwachstelle über MMS verwiesen haben, aber hierbei handelt es sich lediglich um eine Möglichkeit, weshalb Sie durch Deaktivieren des automatischen Ladens nicht unbedingt gegen alle Angriffe gefeit sind. Joshua J. Drake selbst meinte bei der Black Hat-Konferenz, dass der Stagefright-Bug mehr als einen Angriffsweg offen lässt.

Nichtsdestotrotz wurde große Aufmerksamkeit auf die Möglichkeit von Angriffen per MMS gelenkt, wodurch umso mehr Hacker diese in Betracht ziehen könnten. Daher sollten Sie am besten das automatische Laden von Videos und Nachrichten deaktivieren. So gehen Sie dazu bei den meisten gebräuchlichen Apps zum Nachrichtenaustausch vor:

Google Hangout

Öffnen Sie die App und wählen Sie „Einstellungen“, indem Sie auf die drei horizontalen Linien links oben tippen. Klicken Sie auf „Einstellungen“ und dann SMS. Deaktivieren Sie die Option „Automatischer MMS-Download“.

hangout_zimperium

Quelle: Zimperium

Viber

Tippen Sie auf „Einstellungen“ und dann „Medien“. Deaktivieren Sie die Option „Medium automatisch herunterladen“.

viber_1

Quelle: ccm.net

viber_resizeviber_2

 

 

WhatsApp

Wählen Sie „Einstellungen durch Tippen auf die drei Punkte und dann „Chats und Anrufe“. Tippen Sie auf „Medien Auto-Download“ und dann „Bei einer WLAN-Verbindung“. Deaktivieren Sie die Option für Videos genauso wie unter „Bei mobiler Datenverbindung“.


alcatel_whatsapp_1alcatel_whatsapp_2
alcatel_whatsapp_3

 

cleaning-px

Google Messenger

Tippen Sie auf die drei Punkte rechts oben. Wählen Sie „Einstellungen“ und dann „Erweitert“. Deaktivieren Sie die Option „Automatisch abrufen“.

Messanger_Lookout3

Quelle: Lookout

Messanger_Lookout4

 

 

 

 

 

 

 

 

 

 

 

 

 

Samsung Nachrichten

Gehen Sie zu „Mehr“ und „Weitere Einstellungen“. Deaktivieren Sie die Option „Automatisch abrufen“.

samsung_zimperium1

Quelle: Zimperium

samsung_zimperium-730x643

Quelle: Zimperium

Selbst nach Deaktivieren der Option zum automatischen Download sollten Sie Vorsicht walten lassen beim manuellen Laden von MMS aus unbekannter Quelle und, um ganz sicher zu gehen, nicht einmal diejenigen von Freunden oder Ihrer Familie herunterladen. Diese können Sie unwissend in Gefahr bringen, wenn ihre Geräte betroffen sind.

Ihre Wahl als Verbraucher

Während die meisten unter uns nicht über die Mittel verfügen, sich das neueste und tollste Modell jedes Geräts zu leisten, sollten Sie dennoch in Betracht ziehen, dass neuere Geräte in der Regel sicherer als aktuelle Modelle sind. Zusätzlich werden wichtige Sicherheitspatches und Updates üblicherweise nicht für Geräte bereitgestellt, die keine neueren Versionen von Android unterstützen.

Denken Sie daran: machen Sie sich mit den Betriebssystemen und Programmen vertraut, die Sie verwenden, und prüfen Sie regelmäßig auf neue Versionen. So war zum Beispiel auch Mozilla Firefox von der Stagefright-Sicherheitslücke betroffen, wobei das Problem allerdings seit Version 38 als behoben gilt.

Verschaffen Sie sich Gehör

Die Mainstream-Medien mögen sich seit kurzem nicht mehr sonderlich für Stagefright interessieren, aber dessen ungeachtet sind immer noch Millionen von Menschen von diesem Bug betroffen. Bringen Sie Ihre eigenen Bedenken zum Ausdruck und bitten Sie Ihren Anbieter darum, Sie über das Problem auf dem Laufenden zu halten.

Wirbeln Sie in den sozialen Netzwerken Staub auf und markieren Sie Google, Ihren Anbieter und Ihren Hersteller in Ihren Posts. Leiten Sie Artikel zu Stagefright an die Menschen weiter, die Ihnen wichtig und sind und Android genauso gern wie Sie nutzen.

Steigen Sie auf ein anderes Betriebssystem um

Diese Option richtet sich eher an erfahrene Nutzer und ist den meisten Personen abzuraten. Dennoch ist es eine Alternative, die es häufiger zu erörtern gilt. Sollten Sie diese Option in Erwägung ziehen, raten wir Ihnen dazu, ein regelmäßig aktualisiertes ROM wie CyanogenMod zu verwenden.

Dazu müssen Sie Ihr Gerät rooten, wodurch Sie allerdings Ihre Herstellergarantie verlieren können. Bitte bedenken Sie ebenso, dass Sie selbst dann nicht 100 %-ig sicher vor Stagefright und anderen Sicherheitslücken sind. Der Vorteil ist: Sie haben weiterhin ein Android-Gerät, müssen jedoch nicht darauf warten, dass Hersteller und Anbieter Ihnen Patches bereitstellen, sondern erhalten diese umgehend.

Im Lauf der nächsten Monate können wir nur darauf hoffen, dass eine komplette Lösung für das Problem gefunden wird. Denken Sie daran: bleiben Sie zu Sicherheitsupdates auf dem Laufenden, abonnieren Sie entsprechende Newsletter und lesen Sie Blogs zur Sicherheit. Sprechen Sie mit Freunden und Familie darüber und treten Sie ein für Ihre Rechte an Ihrer Privatsphäre und Sicherheit als Verbraucher. Während die technische Entwicklung in beeindruckender Geschwindigkeit voranschreitet, nützen uns all diese tollen Geräte wenig, wenn wir uns in Richtung eines digitalen Armageddon bewegen. Denken Sie daran: Sicherheit ist ebenso wichtig wie Fortschritt.

Wir wünschen eine schöne (Sicherheitslücken-freie) Zeit!

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel