Stagefright (Sicherheitslücke)

Dieser Artikel beschreibt ein aktuelles Ereignis. Die Informationen können sich deshalb rasch ändern.

Stagefright (englisch für „Lampenfieber“) bezeichnet ein Multimedia-Framework für das Smartphone-Betriebssystem Android. Gleichzeitig bezeichnet Stagefright mehrere im Juli 2015 bekannt gewordene Sicherheitslücken im selbigen Multimedia-Framework.

Betroffen von den Sicherheitslücken sind die Android-Versionen 2.2 bis zur aktuellen Version 5.1.1. Schätzungen gehen davon aus, dass 95 % aller aktuellen Android-Geräte betroffen sind.^[1] Das entspricht einer Anzahl von 950 Millionen Geräten.^[1] Laut einer anderen Quelle wurden alleine im Jahr 2014 ca. 1 Milliarde Android-Geräte verkauft, die alle mit einer verwundbaren Version ausgeliefert wurden.^[2]

Ab Android 4.0 ist die Schutzfunktion Address Space Layout Randomization (ASLR) eingebaut, die das Ausnutzen der Sicherheitslücke erschwert, aber nicht vollständig verhindert.^[3]

Die Lücken wurde von Joshua Drake von der Hackingfirma „Zimperium zLabs“ entdeckt, im April und Mai an Google gemeldet und am 27. Juli 2015 veröffentlicht.^[4]

Stagefright hat die CVE-Nummern CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829 erhalten.^[5]

Eine speziell präparierte Multimedia-Datei wie ein MP4-Video kann das Multimedia-Framework zum Absturz bringen. Der entstandende Pufferüberlauf auf dem Heap-Speicher (englisch: Heap Overflow) kann anschließend zum Ausführen von bösartigen Programmcode genutzt werden.^[6]

Als Folge können auf dem betroffenen Android-Gerät beispielsweise Audio-Mitschnitte oder Videos ohne Zutun des Benutzers erstellt werden. Das Android-Gerät kann somit als Abhörgerät missbraucht werden. Der Angreifer hätte auch Zugriff auf die Mediengalerie und die Bluetooth-Schnittstelle. Der Angriff an sich kann über das Zusenden einer MMS- oder Hangouts-Nachricht, über einen Messenger, die Nutzung von Apps, E-Mails, USB, Bluetooth, vCard, SD-Karte, NFC oder den Besuch einer präparierten Webseite stattfinden.^[7] Im Falle der MMS reicht das Zusenden der MMS aus, damit der Angriff erfolgreich ist. In allen anderen Fällen muss eine Multimedia-Datei angeklickt werden: Ein Nutzer bekommt beispielsweise eine Datei über einen Messenger wie WhatsApp zugeschickt und klickt zum Ansehen oder Anhören auf das Video oder die Audio-Datei. Falls die Multimedia-Datei präpariert war, kann die Lücke Stagefright ausgenutzt werden.

Als eine Gegenmaßnahme wird die Abschaltung des automatischen Empfangs von MMS empfohlen. In „Hangouts“ muss in den Einstellungen bei der Option Automatischer MMS-Download bzw. in der App „SMS/MMS“ bei der Option Automatisch abrufen das Häkchen entfernt werden. Einen vollständigen Schutz bietet nur ein Update der Android-Softwareversion (auch Firmware genannt).

Viele Geräte der alternativen Android-Firmware CyanogenMod (CM) mit den CM-Versionen 12.0^[8] sowie der Beta-Version 12.1^[9] wurden bereits am 14. Juli 2015 mit einer abgesicherten (Nightly-)Softwareversion versorgt. Ob ein Android-Gerät ein CM-Update erhält, hängt vom jeweiligen Betreuer (englisch: Maintainer) ab.^[10]

Android-Geräte mit einer Original-Firmware sind von der Update-Bereitschaft des jeweiligen Herstellers und/ oder Providers abhängig. Viele Geräte erhalten aktuelle Android-Versionen „verspätet“ oder gar nicht (siehe dazu den Artikel zur Verfügbarkeit aktueller Versionen für vorhandene Android-Geräte.

Im Google Playstore steht eine App vom Entdecker der Sicherheitslücke bereit^[11] mit der die Anfälligkeit des eigenen Gerätes gefahrlos getestet werden kann.^[12]

Als Reaktionen wurde der automatische MMS-Empfang im Netz der Deutschen Telekom von dieser vorübergehend deaktiviert.^[13] Google und Samsung kündigten monatliche Updates für ihre Android-Geräte an.^[14]

• Offizielle Webseite des Multimedia-Frameworks Stagefright
• Alternative Android-Firmware CyanogenMod

1. ↑ ^{a b} Android-Smartphones: 950 Millionen Geräte durch Sicherheitslücke bedroht. Spiegel Online, 28. Juli 2015, abgerufen am 6. August 2015. 
2. ↑ Android Breaks 1B Mark For 2014, 81% Of All 1.3B Smartphones Shipped. TechCrunch, 29. Januar 2015, abgerufen am 6. August 2015. 
3. ↑ Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen. Golem.de, 6. August 2015, abgerufen am 6. August 2015. 
4. ↑ Stagefright: Android-Smartphones über Kurznachrichten angreifbar. In: heise.de. 27. Juli 2015, abgerufen am 29. Juli 2015. 
5. ↑ Experts Found a Unicorn in the Heart of Android. In: zimperium.com. 27. Juli 2015, abgerufen am 29. Juli 2015. 
6. ↑ Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu. In: heise.de. 4. August 2015, abgerufen am 4. August 2015. 
7. ↑ Sicherheitslücke „Stagefright“ lässt sich nicht nur über MMS ausnutzen. In: zdnet.de. 3. August 2015, abgerufen am 3. August 2015. 
8. ↑ CyanogenMod Code Review. Search for branch:cm-12.0 project:CyanogenMod/android_frameworks_av. In: http://review.cyanogenmod.org/. 14. Juli 2015, abgerufen am 7. August 2015. 
9. ↑ CyanogenMod Code Review. Search for branch:cm-12.1 project:CyanogenMod/android_frameworks_av. In: http://review.cyanogenmod.org/. 14. Juli 2015, abgerufen am 7. August 2015. 
10. ↑ Stagefright Sicherheitslücke: Empfohlene Maßnahmen bis zum Sicherheitsupdate. In: areamobile.de. 29. Juli 2015, abgerufen am 30. Juli 2015. 
11. ↑ Stagefright Detector App
12. ↑ Stagefright: Vulnerability Details, Stagefright Detector tool released
13. ↑ Schutz vor Android-Schwachstelle: Telekom stellt MMS-Empfang vorübergehend um. In: telekom.com. 5. August 2015, abgerufen am 6. August 2015. 
14. ↑ StageFright: Samsung- und Nexus-Geräte bekommen monatliche Sicherheitsupdates. In: heise.de. 5. August 2015, abgerufen am 6. August 2015.