Lücke, die Android-Geräte zum Stillstand bringt

Originalbeitrag von Wish Wu, Mobile Threat Response Engineer

Trend Micros Sicherheitsforscher haben eine Sicherheitslücke in Android entdeckt, über die ein Telefon lahmgelegt werden kann. Es lassen sich keine Anrufe mehr tätigen, es ist tonlos und Bildschirm zeigt sich leblos. Die Lücke gibt es in Geräten mit Android 4.3 (Jelly Bean) bis zu den aktuellen mit Android 5.1.1 (Lollipop). Insgesamt machen diese Versionen mehr als die Hälfte der heutigen Android-Geräte aus. Innerhalb der 90 Tage nach der Benachrichtigung des Android Engineering Teams darüber ist im Android Open Source Project (AOSP)-Code kein Patch dafür veröffentlicht worden.

Die Lücke kann auf zwei Wegen ausgenützt werden: entweder über eine bösartige App auf dem Gerät oder über eine speziell präparierte Website. Die erste Technik kann längerfristige Auswirkungen auf das Gerät haben — eine App mit einer eingebetteten MKV-Datei, die sich selbst bei Autostart anmeldet, wenn das Gerät hochfährt, lässt das Betriebssystem jedes Mal abstürzen, wenn es eingeschaltet wird.

In gewisser Weise ähnelt die Lücke der kürzlich entdeckten Stagefright-Schwachstelle. Beide werden angestoßen, wenn Android Mediendateien handhabt, aber die Art, wie diese Dateien den Nutzer erreichen, ist unterschiedlich.

Beschreibung der Sicherheitslücke

Die Sicherheitslücke liegt im mediaserver-Service, den Android dazu nutzt, um Mediendateien auf dem Gerät zu indizieren. Dieser Service kann mithilfe des Matroska-Containers (üblicherweise mit der .mkv-Extension) „missgestaltete“ Videodateien nicht korrekt verarbeiten. Öffnet der Prozess eine solche mkv-Datei, so kann der Dienst abstürzen (und mit ihm das restliche Betriebssystem). Einzelheiten zu der Arbeitsweise der Sicherheitslücke gibt der Originalbeitrag. http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-vulnerability-that-renders-android-devices-silent/

Proof Of Concept

Die Sicherheitsforscher erstellten eine PoC-App, die eine solch missgestaltete mkv-Datei (res/raw/crash.mkv) enthielt, um zu demonstrieren, wie der Angriff funktioniert. Sobald die App startet, stürzt der mediaserver-Service ab.

Bild 1. Der mediaserver-Service startet immer wieder neu, nachdem der Exploit angestoßen wurde

Damit wird das Gerät stillgelegt und antwortet nicht mehr. Das bedeutet

  • Kein Klingelton, kein Textton oder Benachrichtigung. Der Nutzer weiß nichts von ankommenden Anrufen/Nachrichten und kann auch keinen Anruf annehmen.
  • Die Benutzeroberfläche wird sehr langsam oder reagiert gar nicht mehr. Ist das Telefon gesperrt, so kann es nicht mehr entriegelt werden.

Bild 2. Telefon reagiert nicht mehr

Das Video zeigt den Missbrauch durch eine bösartige App.

Die Sicherheitsforscher erstellten auch eine Test-Site mit derselben mkv-Datei darin. Wenn die Site mit Chrome geladen wird, so ergibt sich derselbe Effekt.

Bild 3. HTML-Code der Testseite

Mehr noch, obwohl die mobile Chrome-Version das Preload und Autoplay für Videos deaktiviert, zwingt mkv den Chrome dennoch, mehr als 16 MB zu laden, bevor mediaserver abstürzt.

Mögliche Bedrohungsszenarien

Es gibt viele bekannte Techniken, um einen Nutzer dazu zu verleiten, eine bösartige Site zu besuchen. Bereits früher wurde dargestellt, wie neu paketierte Apps zum Problem werden können, weil Nutzer häufig legitime Apps von umpaketierten nur schwer unterscheiden können.

Ransomware könnte diese Lücke ausnützen. Nicht nur die Daten auf dem Gerät werden verschlüsselt, auch das Gerät selbst könnte dabei verriegelt werden. Damit erhöht sich die Wahrscheinlichkeit, dass Nutzer das Lösegeld zahlen.

Trend Micro hat die Sicherheitslücke am 15. Mai an Google gemeldet. Die Antwort kam am 20. Mai, wobei Google die Lücke unter ANDROID-21296336 mit niedriger Priorität eingestuft hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*