Stagefright-Lücke in Android wird aktiv ausgenutzt (06.08.2015 | Update 10.08.2015) |
Die seit der letzten Woche bekannte Lücke im Open-Source-Mediaplayer Stagefright, welche rund 95 % aller Android-Geräte betrifft, wird aktiv ausgenutzt, sprich es kursieren bereits Exploits in freier Wildbahn.
Der Schadcode kann per MMS (Multimedia Messaging Service) kommen - aber es sind auch andere Szenarien* möglich, weil viele Apps Stagefright zum Abspielen von Multimedia-Inhalten verwenden - und hat dann ungehinderten Zugriff auf die Kamera, das Mikrofon und auf Fotos u.s.w.! |
Android-Nutzer müssen nun auf die Auslieferung des von Google bereitgestellten Firmwareupdates ihres Betreibers oder Geräteherstellers warten.
Bis dahin sollte im Besonderen der gesunde Menschenverstand zum Einsatz kommen (Hirn 2.0) und aus Sicherheitsgründen der automatische Empfang von MMS-Nachrichten in der verwendeten Standard-Nachrichten-App abgeschaltet werden. Diese App könnte je nach Gerätetyp "Hangouts", "Nachrichten", "Messaging" oder "Messenger" heissen.
Auch ist es sinnvoll eine wirkungsvolle Antivirenlösung, die eine Wächterfunktion in Echtzeit gewährleistet, installiert zu haben (nicht nur für diesen Fall). Z.B. schützen Lookout, Trend Micro Mobile Security oder Malwarebytes Anti-Malware Mobile...bereits zuverlässig vor dem Stagefright-Exploit.
*Folgende Szenarien sind denkbar (über alle Verbindungen wie mobiles Datennetz, NFC, Bluetooth, WLAN, USB):
- Angriff von einer Anwendung (manipulierten App) aus
- Angriff über eine manipulierte eMail
- Angriff von einer URL aus (manipulierte Webseite)
- Angriff über MMS-Nachricht: Besonders gefährlich, weil im Falle des automatischen Empfangs keine Nutzeraktion erforderlich ist.
In allen Szenarien ist der Auslöser eine "missgestaltete" MP4-Datei, die die Mediaserver-Komponente von Stagefright nicht handeln kann. Das Resultat ist ein sog. Heap Overflow mit der Möglichkeit den Heap (dynamischer Speicher) zu überschreiben, um die Kontrolle über den Ablauf der Ausführung zu erlangen. Das kann dann zum Ausführen weiteren Codes genutzt werden (z.B. um eine schädliche App herunterzuladen und zu installieren) bzw. zur kompletten Übernahme des Geräts durch den Angreifer führen.
Update 10.08.2015:
Kriminelle versuchen die Unsicherheiten um die Stagefright-Lücke zur Verbreitung eines Android-Trojaners zu nutzen. Dazu verschicken sie eMails in korrekter deutscher Sprache mit vermeintlichem Absender Google und wollen die Empfänger dazu verleiten, ein gefälschtes Sicherheitsupdate mit dem Namen CVE-2015-1538.apk per Sideloading zu installieren.
Mitnichten handelt es sich dabei um einen Sicherheitspatch, sondern um ein trojanisches Pferd, das über das Remote-Administrations-Tool DroidJack in jeder beliebigen App versteckt werden kann. Das Ergebnis ist der Remote-Zugriff auf die Kamera, das Mikrofon, die GPS-Funktion und die Möglichkeit, SMS-Nachrichten zu versenden sowie zu telefonieren und Speicherkarten auszulesen. Der Trojaner kommuniziert u.a. mit einem russischen Server names "droid.deutsche-db-bank.ru".
|