Stagefright Vulnerability

Die gehypte "Android-Superlücke" Stagefright wird von Joshua Drake auf der BlackHat 2015 in Las Vegas vorgestellt. Es scheint ein Totalschaden zu sein, das mehrere Bugs ausnutzt um sich kompletten Zugang zum Smartphone zu verschaffen. Das knifflige ist, dass eine manipulierte MMS oder Hangouts Meldung ausreicht. Benutzerinteraktion ist nicht erforderlich.

Das sind die Infos die wir zur Zeit haben.

Ich denke auch, dass bis die Updates für alle zur Verfügung stehen, Cyangenmod der einzig wirksame Schutz gegen die Lücke ist. Die haben sie nämlich schon gefixt. Die Workarounds helfen zwar die MMS-Lücke zu schließen, ob dadurch aber auch Hangouts-Meldungen gefixt werden, kann ich zur Zeit nicht beurteilen. Betrachtet das ganze als eine Best-Efford Maßnahme und nicht als einen Ersatz für ein sauberes Update!

Workaround

Es gibt zur Zeit zwei Wege, um die Angriffsfläche zu reduzieren

  • Automatischen MMS-Download deaktivieren
    Achtung: Bis der Bug full disclosed wurde, kann ich jedoch nicht sagen, ob dadurch das Problem wirklich behoben wird. Es reduziert die Wahrscheinlichkeit ja, ist aber kein sicherer fix!

Öffnen Sie die Hangouts App auf Ihrem Android-Telefon.
Tippen Sie auf Menü: Hangouts Android menu icon
Tippen Sie auf Einstellungen.
Tippen Sie auf SMS.

We don't do any pre-processing that involves stagefright. There are no technical details at all available about this vulnerability (for maximum hype), but you'd have to physically tap on the media and then click through a warning about playing media insecurely before stagefright got involved.

Das heißt, ein sauber installiertes TextSecure und ein deaktiviertes Hangouts sollten die Verwundbarkeit für Stagefright deutlich senken. Ob die Lücke durch Hangouts-Meldungen weiterhin ausgenutzt werden kann, kann ich zur Zeit nicht beurteilen.

  • Cyanogenmod
    Stagefright benutzt eine Reihe von bereits gemeldeten Bugs, die in den aktuellen Nightlies von Cyanogenmod (hoffentlich) bereits gefixed sind. DAS ist die einzig wirklich wirksame Maßnahme gegen Stagefright!

Leute, installiert euch TextSecure! Die App verschlüsselt euren gesamte Nachrichtenverkehr transparent (das heißt ihr merkt davon nichts), ist sehr einfach zu bedienen und für Android und iOS verfügbar (nennt sich dort Signal).

Und es behebt möglicherweise die Stagefright Sicherheitslücke, die in den kommenden Wochen noch genug gehyped werden wird. ... Zumal die DEFCON Hacking Conference in Las Vegas ansteht und das ein Publikumsmagnet sein wird ...

Auf die Gnade der Hersteller angewiesen

Die Lücke ist ein Totalschaden, der hoffentlich bald gefixed wird. Google hat fürs Nexus 6 bereits Fix erstellt, die hoffentlich auch bald zur Verfügung stehen werden. Stagefright benutzt eine Reihe von bereits gemeldeten Sicherheitslücken:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

(Quelle: Google+ Post von Cyanogenmod)

Google ist bei seinen Nexus Geräten recht zuverlässig was Patchen von Sicherheitslücken anbelangt. Besitzer von anderen Herstellern sind auf deren Gnade angewiesen und werden sehr häufig einfach im Stich gelassen. Smartphones, die keine Updates mehr bekommen, sollten sich schleunigst nach einer Custom ROM wie Cyanogenmod oder OmniRom für ihre Geräte umschauen. Mit denen ist man ohnehin wesentlich besser dran, sofern man auf die Garantie des Herstellers verzichten kann (kann man in der Regel nach 1 Jahr ohnehin). Man muss ehrlich sagen, dass die Updatesituation bei Android-Smartphones teilweise schon sehr prekär ist 🙁

Links

Update - 06. August

[via heise] Google liefert anscheinend ab heute die ersten Patches für Stagefright aus und führt den monatlichen Patchday ein. Künftig will Google einmal im Monat ihre Geräte mit Sicherheitsupdates und Patches versorgen.

Leave a Comment