Fehler in Androids Media Server lässt Geräte endlos booten

Originalbeitrag von Wish Wu, Mobile Threat Response Engineer

Trend Micros Sicherheitsforscher haben wieder eine neue Sicherheitslücke entdeckt, über die Angreifer Denial of Service (DoS)-Angriffe auf Androids mediaserver starten können. Die Folge ist, dass das Gerät immer wieder hochfährt, bis der Akku leer ist. Es kann auch noch schlimmer kommen, wenn eine damit zusammenhängende bösartige App auf Autostart gesetzt ist und das Gerät in eine endlose Reboot-Schleife versetzt. Dann ist das Gerät nicht mehr zu gebrauchen.

Die Sicherheitslücke CVE-2015-3823 betrifft alle Android-Versionen von 4.0.1 Jelly Bean bis 5.1.1 Lollipop. Das sind etwa 89% aller Android-Nutzer (Stand Juni 2015). Die gute Nachricht: Bislang wurden noch keine Angriffe über CVE-2015-3823 entdeckt.

Die Entdeckung der Lücke folgt kurz auf die zweier anderer schwerwiegender Sicherheitslücken in Androids Mediaserver-Komponente: Über die eine lassen sich die Geräte zum Stillstand bringen, während die andere, Stagefright, dazu genutzt werden kann, um über eine Multimedia-Nachricht Schadsoftware zu installieren.

Funktionsweise

Um ins Gerät eindringen zu können, bringen die Angreifer den Gerätebesitzer dazu, eine bösartige App zu installieren oder auf eine präparierte Site zu gehen, wo eine speziell gefertigte Media-Datei liegt. Danach passiert folgendes:

  • Sobald die spezielle .MKV-Datei über die App in den mediaserver eingefügt wurde, verfällt die Funktion in eine Endlosschleife, die der Nutzer nicht kontrollieren kann. Das ganze System wird langsamer, bis es wieder hochfährt oder der Akku leer ist.
  • Das Gleiche passiert auch, wenn der Nutzer auf eine bösartige Site gelockt wird.

Einzelheiten zur Sicherheitslücke und zum Proof-of-Concept gibt der Originalbeitrag.

Mögliche Bedrohungsszenarien

Nutzt der Angreifer eine bösartige App, kann er selbst entscheiden, wann er den Angriff starten oder stoppen will. Im schlimmsten Fall wird die App auf Autostart gesetzt und läuft jedes Mal, wenn der Nutzer sein Gerät anmacht, sodass er keine Möglichkeit hat, die App zu deinstallieren.

Es ist ziemlich schwierig, die App loszuwerden, denn sobald sie heruntergeladen ist, wird sie versteckt und bleibt still, bis der Angriff angestoßen wird. So geht der Android-Nutzer davon aus, dass die Reboot-Probleme vom System selbst verursacht werden. Auch angepasste Android-Betriebsysteme, die dassselbe mediaserver-Programm verwenden, sind betroffen.

Trend Micro Mobile Security schützt vor dieser Bedrohung und kann sie entdecken, sobald sie versucht, die Sicherheitslücke auszunutzen. Auch sollten die Hersteller ihre Geräte regelmäßig patchen. Trend Micro hat Google am 19. Mai über die Sicherheitslücke informiert. Am 31. Juli bestätigte das Android Security Team das Vorhandensein eines Fix.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*