Fast zwei Monate ist es mittlerweile her, da machte eine alarmierende Nachricht die Runde: Mehrere kritische Sicherheitslücken im Media-Framework würden 95 Prozent sämtlicher Android-User gefährden, hieß es damals. Später stellte sich heraus, dass diese Behauptung reichlich großzügig ausgelegt war, trotzdem brachte allein die Warnung einiges in Bewegung. So versprach Google künftig monatliche Sicherheitsupdates für die Nexus-Reihe zu liefern, und auch andere Hersteller wie Samsung oder LG zogen bald nach. Was hingegen ausblieb war die aktive Ausnutzung dieser Lücken: Bisher sind keinerlei Angriffe gegen Android-Geräte auf diesem Weg bekannt.
Exploit
Dies könnte sich nun allerdings ändern: Zimperium, also jenes Unternehmen, dass die Stagefright-Bugs ursprünglich entdeckt hat, hat nun einen funktionstüchtigen Exploit veröffentlicht. Dritte können diesen also nun in eigene Tools einbauen, um damit Angriffe gegen Android-Geräte zu starten.
Skript
Der Proof-of-Concept-Code steht in Form eines Python-Skripts zur Verfügung. Konkret richtet sich der Angriff gegen die in CVE-2015-1538 beschriebene Lücke, die sich durch manipulierte MP4-Dateien ausnutzen lässt. Ist der Exploit erfolgreich, kann ein Angreifer unter anderem auf Kamera und Mikrofon des Gerätes zugreifen.
Einschränkungen
Allerdings gibt es auch hier die eine oder andere Einschränkung zu beachten: Auf Geräten ab Android 5.0 funktioniert der Angriff prinzipiell nicht, da hier zusätzliche Schutzmaßnahmen gegen solche Integer-Overflow-Attacken eingeführt wurden. Erfolgreich getestet wurde der Exploit lediglich auf einem einzelnen Nexus-Gerät mit Android 4.0.4. Und auch hier sei ein Angriff nur wirklich zuverlässig erfolgreich, wenn man mehrere Versuche habe, betont Zimperium – was etwa Remote-Attacken über MMS weitgehend ausschließt. Genau solch ein Szenario war aber ursprünglich als Beispiel für die Gefahr der Stagefright-Probleme gebracht worden.
ASLR
Mit Android 4.1 hat Google zudem Schutzmaßnahmen eingeführt, die auch einen lokalen Exploit über eine manipulierte Android-App weiter erheblich erschweren sollten. Die Address Space Layout Randomization (ASLR) sorgt dafür, dass es einer sehr hohen Zahl an Angriffen bedarf, um einen erfolgreichen Exploit durchzuführen. Wie realistisch dies ist, ist eine Frage, zu der sich Zimperium nicht äußert. Aber dass man den Exploit nur mit Android 4.0.4 erfolgreich getestet hat, dürfte wohl ein gewisser Hinweis sein.
Updates?
Unterdessen ist unklar, wie viele Geräte mittlerweile Updates erhalten haben, um die Stagefright-Lücken zu beheben. Einige Hersteller haben zwar damit begonnen, neue Versionen auszuliefern, Details zum Umfang dieser Maßnahmen liefert man aber nicht. Einzig Google selbst bildet hier eine Ausnahme, mit einem aktuellen Update wurde gerade auch noch die letzte verbliebene Lücke geschlossen.
Testlauf
Wer sein eigenes Gerät testen will, kann dies mit einer eigenen App, die von Zimperium angeboten wird. Angemerkt sei, dass ein positives Ergebnis hier noch nicht bedeutet, dass das eigene Gerät auch akut gefährdet ist. Die App zeigt nur an, ob der betreffende Bug vorhanden ist, aber nicht ob sich dieser auch sicherheitsrelevant ausnutzen lässt – wie oben beschrieben. (apo, 10.9.2015)