Die Sicherheit von Googles mobilem Betriebssystem Android kommt einmal mehr unter Beschuss: Nur wenige Tage nachdem Zimperium vor mehreren Lücken im Media Framework Stagefright gewarnt hat, meldet sich nun auch Trend Micro zu Wort. In einem Blog-Eintrag warnt der Sicherheitsdienstleister vor zwei weiteren Fehlern in Stagefright, durch die ein Android-Gerät vorübergehend keinen Laut mehr von sich gibt. Auch reagiert ein solcherart angegriffenes Geräte kaum bis gar nicht mehr.

Fehler

Grund dafür ist ein Fehler in der Art, wie Stagefright in einem Matroska-Container steckende Videodateien verarbeitet. Durch eine speziell angepasste Matroska-Datei kann ein Integer Overflow ausgelöst werden, in dessen Folge der Service abstürzt. Bei einem Angriff wird nun also dieser Fehler immer wieder ausgelöst, woraus sich die zwei erwähnten Effekte erklären: Da Stagefright nicht verfügbar ist, kann auch kein Ton abgespielt werden, durch das dauernde Neustarten wird der Prozessor fast zur Gänze ausgelastet.

Szenarien

Trend Micro zeichnet in seinem Blogeintrag zwei Angriffsszenarien: Einerseits über eine entsprechende App andererseits über ein in eine Webseite eingebettetes Video. Das erste Beispiel demonstriert man denn auch in einem Video. Voraussetzung dafür wäre, dass sich die Nutzer zuvor die entsprechende App manuell auf ihr Gerät installieren. Durch die Sicherheitschecks von Google Play würde solch eine App hingegen wohl kaum kommen, wird dabei doch die Auswirkung einer App auf das umliegende System geprüft – die Crashes würden also auffallen. Hat man die Nutzer dazu gebracht, eine solche App zu installieren, könnte sich diese dann in den Autostartvorgang hängen, und seine Aktivitäten so bei jedem Reboot wieder frisch entfalten. In so einem Fall würde die Entfernung der App zumindest erheblich schwerer werden.

Webpages

Trotzdem erscheint der zweite Weg wesentlich relevanter: Ein Absturz von Stagefright lässt sich nämlich offenbar auch über ein in eine Webseite eingebettetes Video auslösen. Den Nachweis dafür, dass hier ebenfalls ein Serienabsturz ausgelöst werden kann – was erst zu den beschriebenen Effekten führt – bleibt Trend Micro allerdings schuldig. Selbst wenn ist die Lösung in diesem Fall recht einfach: Mit Schließen der Webseite oder Neustart des Geräts ist der Angriff auch wieder beendet.

Einschätzung

Insofern ist das ganze zweifelsfrei ein reichlich unangenehmer Bug, wirklich sicherheitsrelevant ist das Problem aber nicht. Immerhin lässt sich nach solch einem Angriff keinerlei Code einschmuggeln, ein Einbruch auf das jeweilige System ist also nicht möglich.

Umfang

Betroffen sind Trend Micro zufolge Android-Geräte mit den Versionen 4.3 bis 5.1.1. Google wurde laut dem Sicherheitsdienstleister Mitte Mai über das Problem informiert, und hat den Bug auch bestätigt. Allerdings schätzt man die reale Gefährdungslage als "niedrig" ein. Insofern gilt es abzuwarten, wann das Unternehmen die Fehler bei den eigenen Nexus-Geräten bereinigt und Patches an Dritthersteller liefert.

Für Android-Nutzer lautet der Ratschlag bis dahin genau so wie immer: Nämlich keine Apps aus unbekannten und nicht vertrauenswürdigen Quellen auf ihre Android-Geräte zu installieren. (Andreas Proschofsky, 30.7.2015)