Durch eine Reihe von Schwachstellen in der Multimedia-Schnittstelle Stagefright sollen sich 95 Prozent aller Android-Smartphones kapern lassen. Wie der Sicherheitsforscher Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt, muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder Hangouts-Nachricht schicken, in der sich Exploit-Code befindet.

Angriff ohne Spuren

Damit der Exploit zündet, muss das Opfer die Nachricht in einigen Fällen noch nicht mal öffnen. Der Code wird ausgeführt, sobald die Nachricht vom Android-System verarbeitet wird. Laut Drake kann der Code die Nachricht im Anschluss löschen, wodurch sie das Opfer nie zu Gesicht bekommt.

Smartphone als Wanze

Auf welche Systembereiche der Angriffscode zugreifen kann, hängt davon ab, mit welchen Rechten der angegriffene Prozess ausgeführt wird. Standardmäßig kann der Angreifer durch die Stagefright-Lücken etwa Audio-Mitschnitte und Videos aufzeichnen sowie auf die Mediengalerie und die Bluetooth-Schnittstelle zugreifen. Über eine Rechteausweitungslücke kann der Code aber auch versuchen, an weitere Rechte zu gelangen. Bei einigen älteren Geräten wie dem Samsung Galaxy S4 ist das allerdings offenbar gar nicht nötig, da der betroffene Prozess laut Drake bereits mit Systemrechten ausgeführt wird.

Android 2.2 bis 5.1 verwundbar

Betroffen sind angeblich fast alle Geräte, auf denen eine Android-Version von 2.2 bis einschließlich 5.1 läuft. Es handelt sich um mindestens sieben Schwachstellen, denen jeweils eine eigene CVE-Nummer zugeteilt wurde. Drake hat die Lücken im April und im Mai an Google gemeldet. Das Unternehmen hat die Lücken bestätigt und offenbar bereits damit begonnen, den Hardware-Herstelller Patches bereitzustellen.

Hersteller sind gefragt

Wie lange es dauert, bis diese bei den Nutzern ankommen, steht allerdings in den Sternen: Die Hersteller lassen sich traditionell mit dem Bereitstellen von Firmware-Updates Zeit und ignorieren dabei häufig Geräte älteren Semesters. Zumindest das Google-Referenzgerät Nexus 6 und das Blackphone sollen bereits gegen einige der Schwachstellen gewappnet sein.

Full Disclosure auf der BlackHat

Den Druck auf die Hersteller dürfte Drakes Vortrag auf der in Kürze stattfindenden Hackerkonferenz BlackHat erhöhen: Er hat Full Disclosure angekündigt – also die totale Offenlegung der von ihm entdeckten Lücken. Drake nennt seinen Fund "die Mutter aller Android-Schwachstellen".

Update vom 28. Juli, 10:30 Uhr: Offenbar betrifft der Angriffsvektor MMS vor allem Android-Versionen, die älter als 4.1 sind. Neuere Versionen sind mit Schutzfunktionen ausgestattet, die das Ausnutzen über MMS erschweren. Die Lücken im Stagefright-Framework klaffen aber auch hier und lassen sich vermutlich auch für Angriffe missbrauchen.

Die Entwickler der alternativen Android-Distribution CyanogenMod erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der Nightly Build von 12.1 geschlossen haben. Eine abgesicherte Version 11 soll am Wochenende folgen. Durch die öffentlich einsehbaren Änderungen an CyanogenMod sind weitere Details über die Schwachstellen bekannt geworden: Es handelt sich um Speicherfehler, die bei der Verarbeitung von Videodateien in den Formaten MPEG4 und 3GPP auftreten. (rei)