Stagefright-Angriff: Es braucht nur eine einzige SMS, um ein Android-Smartphone zu hacken

Stagefright-Angriff, die Mutter aller Android-Schwachstellen, setzt 950 Millionen Smartphones aufs Spiel

Über 95 Prozent der im Umlauf befindlichen Android-Smartphones oder etwa 950 Millionen Smartphones könnten anfällig für einen einzigartigen, aber kritischen Hack-Angriff namens Stagefright sein.

Joshua Drake von Zimperium Mobile Security entdeckte sechs + eine kritische Schwachstelle in der nativen Medienwiedergabe-Engine namens Stagefright. Er bezeichnet diese Schwächen als „Mutter aller Android-Schwachstellen“.

Drake sagte, dass die Schwachstellen ausgenutzt werden können, indem man eine einzige Multimedia-SMS an ein nicht gepatchtes Android-Smartphone sendet. Während der Exploit tödlich ist, sind die Exploits in einigen Fällen, in denen Telefone den Angriffscode vor dem Öffnen der Nachricht analysieren, still und der Benutzer hätte wenig Chance, seine Daten zu verteidigen.

Stagefright ist ein natives Medienwiedergabetool, das von Android verwendet wird, und all diese Schwächen befinden sich darin. Drake erklärt, dass es sich bei allen um „Remote-Code-Ausführungs“-Fehler handelt, die böswilligen Hackern ermöglichen, Geräte zu infiltrieren und private Daten zu exfiltrieren.

Laut Drake muss der potenzielle Hacker nur die Exploits an die vermeintlichen Mobiltelefonnummern senden. Von dort aus könnten sie einen Exploit in einer Stagefright-Multimedia-Nachricht (MMS) verpacken, der es ihnen ermöglichen würde, Code auf das Gerät zu schreiben und Daten aus Bereichen des Telefons zu stehlen, die mit den Berechtigungen von Stagefright erreicht werden können.

Sobald die Schwachstelle ausgenutzt wird, können die Hacker auf fast alles zugreifen, einschließlich der Aufnahme von Audio und Video, das Ausspionieren von Fotos, die auf SD-Karten gespeichert sind. Sogar das bescheidene Bluetooth-Radio kann ebenfalls über Stagefright gehackt werden.

Je nach verwendeter MMS-Anwendung könnte das Opfer niemals erfahren, dass es überhaupt eine Nachricht erhalten hat.

Die Schwachstellen sind so kritisch, dass das Senden eines Exploit-Codes an die Google Hangouts des Opfers „sofort den Exploit auslösen würde, noch bevor der Benutzer das Smartphone überhaupt ansehen oder bevor er die Benachrichtigung erhält“.

Ein weiterer interessanter Aspekt des Exploits ist, dass der Hacker die Nachricht löschen kann, bevor der Benutzer darüber informiert wurde, was Angriffe völlig still macht.

Drake wird die vollständige Offenlegung zusammen mit einem Proof of Concept auf der Def Con am 6. August geben. Er erklärte gegenüber Forbes, dass er im April dieses Jahres über die Fehler berichtet hatte und Google die Patches an seine Smartphone-Herstellungspartner gesendet hat.

Drake erklärte, dass insgesamt sieben Schwachstellen bis zum 9. April 2015 an Google gesendet wurden und Google ihm mitgeteilt hatte, dass es am 8. Mai 2015 Patches geplant hatte. Darüber hinaus versicherte Google Drake, dass alle zukünftigen Android-Versionen vorgepatcht gegen diese Schwachstellen veröffentlicht werden.

Wie bei jedem Android-Smartphone-Update der Fall ist, geben die Smartphone-Hersteller die Patches jedoch selten an die Endbenutzer der Smartphones weiter. Insbesondere die kleineren Hersteller, die lokal angepasste Android-Smartphones herstellen. Daher kann man sicher annehmen, dass fast 950 Millionen Android-Smartphones und Tablets im Umlauf möglicherweise über die Stagefright-Schwachstelle ausgenutzt werden können.

„Alle Geräte sollten als anfällig angesehen werden“, sagte Drake gegenüber Forbes. Drake sagt, dass nur Android-Handys unter Version 2.2 von dieser speziellen Schwachstelle nicht betroffen sind.

„Ich habe viele Tests an einem Ice Cream Sandwich Galaxy Nexus durchgeführt… wo die Standard-MMS die Messaging-Anwendung Messenger ist. Diese wird nicht automatisch ausgelöst, aber wenn Sie sich die MMS ansehen, wird sie ausgelöst, Sie müssen nicht versuchen, das Medium abzuspielen oder so, Sie müssen es nur ansehen“, fügte Drake hinzu.

In einer per E-Mail an Forbes gesendeten Erklärung dankte Google Drake für die Meldung der Probleme und die Bereitstellung von Patches und stellte fest, dass seine Herstellungspartner diese in den kommenden Wochen und Monaten bereitstellen sollten.

„Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die darauf ausgelegt sind, die Ausnutzung zu erschweren. Android-Geräte enthalten auch eine Anwendungs-Sandbox, die dazu dient, Benutzerdaten und andere Anwendungen auf dem Gerät zu schützen“, sagte ein Sprecher. Der Google-Sprecher wandte sich an Techworm und sagte, dass sie nächste Woche zusätzliche Patches für Nexus-Geräte vor dem Beginn von DefCon 2015 bereitstellen werden. In der E-Mail wird auch erwähnt, dass Google bereits einen Fix an Smartphone-Hersteller herausgegeben hat, jedoch wurde nicht klargestellt, welche Smartphone-Hersteller Patches an die Endbenutzer herausgegeben haben. In der E-Mail heißt es: „Diese Schwachstelle wurde in einer Laborumgebung auf älteren Android-Geräten identifiziert, und soweit wir wissen, wurde niemand betroffen. Sobald wir über die Schwachstelle informiert wurden, haben wir sofortige Maßnahmen ergriffen und einen Fix an unsere Partner gesendet, um die Benutzer zu schützen. Als Teil eines regelmäßig geplanten Sicherheitsupdates planen wir, ab nächster Woche weitere Sicherheitsmaßnahmen für Nexus-Geräte zu implementieren. Und wir werden es als Open Source veröffentlichen, wenn die Einzelheiten von dem Forscher bei BlackHat öffentlich gemacht werden.“

Die DefCon 2015 beginnt in der ersten Augustwoche 2015 und wir erwarten, dass viele Schwachstellen während der weltweit führenden Hacking-Konferenz öffentlich gemacht werden. Wir suchen auch nach Kommentaren von Google zu der neu enthüllten Silent Attack-Schwachstelle von Trend MicroLabs, die fast 500 Millionen Android-Smartphones anfällig macht.