Sicherheitslücke Stagefright im Android-Betriebssystem

Interview mit Christian Meder, CTO bei inovex, mit seiner Einschätzung zur Sicherheit von Android-Geräten (Original-Interview auf jaxenter.de)

Wie ernst steht es um die Sicherheit von Android-Geräten?

JAXenter: Die Sicherheitslücke Stagefright ist momentan in aller Munde. Kannst du zunächst kurz umreißen, worum es sich dabei handelt?

Christian Meder: Kurz ist schwierig in diesem Fall! Bei Stagefright handelt es sich um eine Anzahl von unterschiedlichen Sicherheitsproblemen in einer zentralen Medienkomponente der Android-Plattform. Wie seit Heartbleed üblich, gibt man weit verbreiteten und für die breitere Öffentlichkeit relevanten IT-Sicherheitsproblemen inzwischen einprägsame Namen. In diesem Fall leitet sich der Name Stagefright (“Lampenfieber”) vom Namen der verwundbaren Medienbibliothek libstagefright her. Diese in C++ implementierte Medienbilbiothek der Android-Plattform ist seit Version 2.3 (“Gingerbread”) in Verwendung, um unterschiedliche Medienformate wie MP4 abzuspielen oder zu verarbeiten, etwa um Vorschaubilder zu generieren. Die unterschiedlichen Schwachstellen sind unter zehn CVE-Nummern katalogisiert. Jede dieser Schwachstellen führt zu einem Speicherfehler in der Bibliothek. Da die Bibliothek Teil der Android-Plattform ist, kann sie nur über ein Herstellerupdate (Firmwareupdate) ausgetauscht werden und nicht über den Google Play Store aktualisiert werden.

JAXenter: Worin liegen hier die besonderen Gefahren? Stagefright wird ja in verschiedenen Medien mit Heartbleed verglichen.

Christian Meder: Problematisch und gefährlich ist hierbei, dass der Medienserver, ein Hintergrundprozess, der libstagefright für das Abspielen von Mediendateien und die Generation der Vorschaubilder von Videos verwendet, mit erhöhten Privilegien, Medien-, aber auch auf manchen Geräten System-Privilegien, läuft. Das heißt, wenn man es schafft, eine kompromittierte Videodatei dem Medienserver unterzuschieben, kann man sich über die Sicherheitslücken Zugriff auf das System mit den Rechten des Medienservers verschaffen. Diesen Angriff hat auch Joshua Drake von Zimperium, der Entdecker der Lücken, auf der US Black-Hat-Konferenz in einem Video demonstriert. Eine MMS wird von der Hangouts App automatisch heruntergeladen, mit dem Medienserver geöffnet und unter Ausnutzung einer der libstagefright-Lücken erhält der Angreifer in diesem Video vollen Zugriff auf das Android-Gerät. Allerdings sind auch viele weitere Angriffsszenarien zur Einschleusung von Medien-Dateien denkbar, beispielsweise in Webseiten eingebettete Videos oder per Messaging App versandte Videos.

Abgesehen von einzelnen Stichproben gibt es im Moment keine mir bekannte systematische Übersicht, welche Apps in welcher Art und Weise betroffen sind. Der Vergleich mit Heartbleed ist derzeit aber rein spekulativ, da es nur den einen im Video demonstrierten Exploit gibt und auch von diesem Exploit werden die exakten Details erst Ende August veröffentlicht.

Erste Analysen des Videos zeigen, dass für den gezeigten Exploit ein Galaxy Nexus mit einer Android 4.0 Version (“Ice Cream Sandwich”) genutzt wurde. Vermutlich ist der Grund in einem seit Android 4.1 (“Jelly Bean”) aktivierten Sicherheitsfeature ASLR (Address Space Layout Randomization) zu suchen. Wie Adrian Ludwig, Chefingenieur für Android Security, in den letzten Wochen unermüdlich erläuterte, würfelt ASLR die exakte Position von Daten und Code im Speicher durcheinander und macht es dadurch enorm schwer, einen verlässlichen Exploit für ein Android-Gerät mit einer Version größer 4.1 zu schreiben (Analyse von Android ASLR bspw. hier zu finden). Bisher wurde noch kein Exploit öffentlich demonstriert, der die ASLR-Hürde nehmen konnte.

JAXenter: Durch die Sicherheitslücke stehen auch die Update-Zyklen von Google in der Kritik – zu Recht?

Christian Meder: Das Update-Problem im Android-Umfeld steht absolut zu Recht in der Kritik. Aber in einem offenen Ökosystem, wie es bei Android der Fall ist, liegt die Verantwortung für Firmware-Updates ganz klar beim Hersteller der Geräte und nicht bei Google, Google liefert den Upstream Code für Android. Die Hersteller und auch zum Teil die Telkos legen noch immer sehr viel Wert auf tiefgreifende Anpassungen der Android-Plattform an ihre Bedürfnisse. Wer aber “seine” eigene Software ausliefert, muss auch in der Verantwortung und Lage sein, seine Geräte sicherheitstechnisch und im Rahmen von Updates zu unterstützen. Das ist ein sehr klassisches Problem im Umgang mit Open Source und ein meist schmerzhafter Lernprozess: Jede Änderung an Upstream Source Code muss auch von einem kompetenten Team über die Nutzungsdauer der Software mit Sicherheitsupdates versorgt werden. Aktuell sind die meisten Hersteller gar nicht in der Lage (und in manchen Fällen nicht gewillt) die Vielzahl ihrer Geräte zeitnah mit Updates zu versorgen. Und es ist schon ein gewaltiger Fortschritt, wenn im Rahmen von Stagefright jetzt über monatliche Sicherheitsupdates und Updategarantien gesprochen wird. Bisher sind das nur Ankündigungen von aufgeschreckten Herstellern, aber es könnte sich schon bald als Wettbewerbsvorteil erweisen, klare Supportgarantien für Android-Geräte zu formulieren.

JAXenter: Ein abschließender Kommentar: Ist Stagefright wirklich so schlimm oder handelt es sich bei der medialen Aufmerksamkeit um Panikmache?

Christian Meder: Ich sollte dieser Antwort vorausschicken, dass ich kein Sicherheitsexperte bin, sondern eher ein interessierter Beobachter mit Erfahrung im Bereich von Linux und Android. Die Sicherheitslücken in libstagefright sind ohne Zweifel schwerwiegend und betreffen aufgrund der zentralen Funktion dieser Medienbibliothek fast jeden Android Nutzer.

Es darf aber nicht vergessen werden, dass es viele Sicherheitslücken gibt, die sich in der Praxis nicht mit realistischem Aufwand ausnutzen lassen. Und genau hier liegt bei Stagefright das Problem: Es ist eine potentiell sehr große Bedrohung, hier wird ja immer von 95% oder auch gerne von 950 Millionen betroffenen Geräten gesprochen, aber öffentlich gezeigt wurde nur ein Exploit für eine Gerätekombination, die in dieser Form vermutlich so gut wie gar nicht produktiv genutzt wird.

Selbst wenn ein Exploit für alle Geräte ohne ASLR verfügbar wäre, sprächen wir noch immer von unter 10% aller am Google Play Store aktiven Geräte, also weit weg von den häufig wiederholten 95%. Man muss auch bedenken, dass die dieser Tage wieder gern zitierte Fragmentierung des Android-Ökosystems den Entwicklern von Exploits nicht gerade in die Hände spielt.

libstagefright wird aufgrund von Abhängigkeiten zur Grafikeinheit von vielen Herstellern modifiziert, Medienserver und System-Apps unterscheiden sich ebenfalls durchaus von Hersteller zu Hersteller. Einen portablen Exploit über Android-Versionen, Hardware-Diversifikation und Herstellermodifikationen hinweg zu schreiben, darf als äußerst anspruchsvoll angesehen werden, nicht unmöglich, aber sehr schwierig. Stagefright kann also perspektivisch sehr weitreichende Folgen haben, nach derzeitigem Kenntnisstand fehlen aber noch einige Puzzlestücke um Android-Geräte auf breiter Front anzugreifen. Die unmittelbaren positiven Folgen sollen aber auch nicht unerwähnt bleiben.

Die Hersteller sind aufgeschreckt und ernsthaft besorgt und zum ersten Mal in der noch jungen Android-Geschichte sehen sie sich in Erklärungsnot im Umgang mit der Sicherheit ihrer Geräte. Wenn regelmässige Sicherheitsupdates, Support-Garantien und eine erhöhte Sensibilität der Nutzer aus Stagefright resultieren, hat das auch sein Gutes. So habe ich den automatischen Download von MMS auf den Android-Geräten meiner Familie deaktiviert (die Teenager wussten gar nicht, was MMS denn ist) und nehme nun als kritischer Verbraucher die Gerätehersteller in die Pflicht. Derzeit gibt es noch ein Zeitfenster um zu reagieren und genau jetzt ist der richtige Zeitpunkt, seine Kunden ernst zu nehmen.

JAXenter: Vielen Dank für dieses Interview!

Christian Meder ist CTO bei inovex. Dort beschäftigt er sich vor allem mit leichtgewichtigen  Java- und Open-Source-Technologien sowie skalierbaren Linux-basierten Architekturen. Seit mehr als einer Dekade ist er in der Open-Source-Community aktiv.

Javamagazin 05/2015

Christian Meder

Release auf Raten: Android 5 Lollipop und seine Nexus-Geräte

Zum Artikel

inovex Leistungen

Mobile Enterprise, App-Entwicklung, Mobile Weg, Internet of Things & Smart Devices

Zu unseren Leistungen im Mobile-Bereich