Eigentlich ist „Stagefright“ zur Zeit in aller Munde, weshalb ich ursprünglich nicht vorhatte, einen eigenen Artikel darüber zu schreiben. Aber Reaktionen in den Kommentaren zeigen, dass es durchaus Android User gibt, die noch nicht von diesem Problem erfahren haben – also will ich hiermit dazu beitragen, das zu ändern.
Stagefright wird ein Bug – oder besser gesagt eine ganze Ansammlung von Bugs – in der gleichnamigen Library genannt, die bei Android für die Wiedergabe und Verarbeitung von Multimedia-Daten zuständig ist. Durch diese Fehler wird es möglich, sich Root-Rechte auf dem Smartphone zu verschaffen und somit so ziemlich alles machen zu können, was man mit Software überhaupt auf dem Handy anstellen kann. Das besonders besorgniserregende daran: Da diese Library auch beim Empfang von MMS Nachrichten benutzt wird, kann ein Angreifer theoretisch alleine durch das Zusenden einer entsprechend präparierten MMS die Kontrolle über das Smartphone übernehmen – der Anwender braucht diese MMS noch nicht einmal öffnen, das Ganze kann völlig unbemerkt geschehen. Und ein gewiefter Angreifer wird sicher auch die MMS direkt löschen, so dass auch keine großartigen Spuren entstehen…
Diese Sicherheitslücke wurde von Joshua Drake, einem Mitarbeiter von Zimperium zLabs entdeckt und schon vor über 3 Monaten an Google gemeldet – inkl. eines entsprechendes Patches, der die Lücke schließt. Google gibt zwar an, diesen Patch innerhalb von 2 Tagen übernommen zu haben – nur selbst auf den eigenen Nexus Geräten ist er bislang noch nicht angekommen. Nach aktuellen Meldungen von heise.de soll das heute losgehen. Drake hatte Google die üblichen 90 Tage Zeit gegeben, sich um den Fehler zu kümmern und ihn dann erst öffentlich gemacht – es ist schon erschreckend, dass Google es in dieser langen Zeit noch nicht einmal geschafft hat, seine eigenen Geräte, die im Android-Universum mit Abstand am Besten mit Updates versorgt werden, abzusichern.
Noch schlimmer sieht es bei den anderen Herstellern aus: Bis heute wurden nur die alternative Firmware CyanogenMod und das Blackphone abgesichert, alle anderen Android Smartphones, von Android 2.2 bis hin zur aktuellen Version 5.1, sind gefährdet. Seit Android 4.1 sollen allerdings neue Sicherheitstechniken wie z.B. ASLR (Address Space Layout Randomization) die Übernahme des Smartphones deutlich erschweren, bis Android 4.0 Ice Cream Sandwich ist das Risiko also besonders hoch.
Zunächst einmal kann man das automatische Herunterladen von MMS-Nachrichten abschalten – damit fällt das oben beschrieben Schreckensszenario eines „Befalls“ ganz ohne Beteiligung des Anwenders weg. In der normalen SMS/MMS App schaltet man dafür unter Einstellungen ->Multimedia-Mitteilung (MMS) ->Automatisch abrufen diese Option ab. In Hangouts findet sich diese Option in Einstellungen -> SMS -> Automatischer MMS Download. Die Deutsche Telekom ging sogar so weit, und hat heute die Auslieferung von MMS gestoppt – stattdessen erhält man eine SMS mit einem Download-Link. Da MMS überteuert sind und wenig genutzt werden, dürfte das kaum jemanden wirklich stören. Aber wie es Murphy nun mal so will, bekomme ich gerade während des Schreibens dieses Artikels eine MMS – von meiner Mutter…
Aber auch ohne MMS ist man bei Weitem nicht in Sicherheit: Webseiten können die Lücke nutzen, entsprechende Media-Dateien können auch mit EMails, per WhatsApp und auf vielen anderen Wegen auf das Handy gelangen – immerhin ist hier jeweils ein Klick den Anwenders nötig um das Übel frei zu lassen. Es ist also momentan noch mehr Vorsicht angesagt als sowieso schon. Dateien von unbekannten Personen sollte man auf einen Fall öffnen, und auch bei bekannten Absendern sollte man immer mitdenken, bevor man klickt… wenn der Anhang eher Überraschend kommt, lieber vorher noch mal nachfragen. Genau das habe ich auch gerade wegen der besagten MMS getan – sie war wohl echt (und ich muss demnächst mal zeigen, wie man Bilder per Mail verschicken kann…)
Leider zeigt sich hier eine der ganz großen Schwächen von Android: Es gibt kein vernünftiges Patch-System, welches es Google erlauben würde, schnell ein Sicherheitsupdate an alle Anwender auszuliefern. Stattdessen muss jeder Hersteller tätig werden, die von Google bereitgestellte Änderung in seinen eigenen (schlimmstenfalls stark abgeänderten) Code einpflegen, das ganze testen und dann als Update ausliefern. Wenn der Hersteller schon länger kein Update mehr gemacht hat, kann das zu einer sehr aufwändigen Sache werden. Im Falle von „gebrandeten“ Geräten kommen sogar noch die Netzbetreiber mit ins Spiel, wollen das Update noch mal zusätzlich testen. Das Ganze dauert dann noch länger – wenn es denn überhaupt ein Update gibt. Das ist leider alles andere als selbstverständlich, denn gerade bei preiswerten Android Smartphones sieht die Versorgung mit Update oft sehr mau aus.
Google hat hier dringenden Handlungsbedarf. Immerhin hat man zusammen mit Samsung nun einen Monatlichen Patch-Day angekündigt, das ändert aber am grundsätzlichen Update Problem nichts. Man ist zwar schon seit langem dabei, immer mehr Funktionalität aus dem eigentlichen Betriebssystem herauszulösen und in Apps auszulagern, die dann per Play-Store direkt durch Google aktualisiert werden können – aber das reicht offensichtlich nicht aus.
Es wird spannend zu beobachten sein, was sich hier in nächster Zeit tut.
10 Kommentare
Hallo Klaus,
eine Frage habe ich trotz Recherge nicht beantwortet bekommen:
Wenn ich das richtig sehe würde bei einem eventuellen Angriff das Gerät gerootet werden (logisch, anders bekommt man schließlich keine nennenswerten Möglichkeiten um auf das System zuzugreifen).
Ist man aber dadurch nicht als Root-User quasi imun gegen den Angriff, da Superuser bzw SuperSU sich als Barriere dazwischenwerfen würden?
Zusätzlich sei noch erwähnt, dass es heute eine Stellungnahme von Adrian Ludwig gab, in der es starke Entwarnung gab. Kurz zusammengefasst: 90% aller Androidgeräte verfügen über eine Sicherheitstechnik namens ASLR, die die Sicherheitslücke „versehentlich“ schließt – und das schon seit geraumer Zeit. Damit sind die 94% der betroffenen Geräte vorerst! wieder im Tal der Mythen.
Quelle http://www.cio.com/article/2957200/android/did-android-get-a-case-of-stagefright.html
Gruß Björn
Hallo Björn,
es geht beides mal um Root-Rechte, aber es ist halt ein riesiger Unterschied, ob Du ausgewählten Apps per SuperSU Root-Rechte zugestehst, oder ob Code der in ein Video eingebettet wurde und über den Du keine Kontrolle, noch nicht einmal Info hast, mit Root Rechten ausgestattet ist…
Wenn man sein Handy Rootet und dann einfach allen Apps die’s wollen Root Rechte gibt, dann hat man allerdings ein Problem 😉
Der CIO Artikel stellt einiges vereinfacht dar. Dort wird z.B die SMS/MMS App als das Übel dargestellt, die Sicherheitslücke liegt aber in der Stagefright Library, die nicht nur von dieser App genutzt wird. Ich befürchte, dass auch die Wirkung von ASLR derart simplifiziert wurde… an anderer Stelle habe ich eine Beschreibung eines Google-Mitarbeiters gelesen, die erklärte, dass ein Ausnutzen solcher Sicherheitslücken durch ASLR sehr viel schwieriger wird, aber nicht unmöglich. Es wurde mit dem durchqueren einer Stadt verglichen, ohne eine Karte (auch kein Google Maps 😉 ), Kenntnisse der Stadt oder auch nur der lokalen Sprache zu haben. Es scheint aber auch Mittel zu geben, mit denen man ASLR aushebeln kann, z.B. mit sog. Spraying (s. Wikipedia). Alsoist die Lücke wohl nicht so riesig und vor allem nicht leicht auszunutzen, aber komplette Entwarnung gibt es nicht. Und Nutzer von ICS (zum Glück nur noch <5%) oder noch älteren Android Versionen müssen sich auf jeden Fall mehr sorgen machen. Vielleicht muss ich meinem Radio-Wecker doch noch ein Custom-ROM verpassen...
Gruß,
Klaus
Hallo Klaus,
ich bin mir nicht sicher ob ich das richtig verstanden habe. Daher hier die Abfolge wie ich sie mir vorstelle:
1. MMS wird empfangen
2. Video in MMS wird automatisch runtergeladen
3. Code, der im Video versteckt ist rootet das Handy (ähnlich wie Towelroot oder Framaroot es tun würden, nur über eine andere Sicherheitslücke)
4. Weiterer Code im Video übernimmt die Kontrolle über bestimmte Funktionen im Handy
mein Gedanke war daher eigentlich eher folgender:
wenn ich via Stagefright gehackt werde, würde sich, wenn ich eh schon gerootet bin, SuperSU bei Punkt 4 dazwischenwerfen und mich um Erlaubnis der Rootrechte für das Programm bitten?
Was der Artikel alles vereinfacht weißt du sicherlich besser als ich 😀 Bin am Ende des Tages halt doch nur ein Interessierter, kein Profi. Meines Wissens ist allerdings bis heute kein Fall bekannt, bei dem über diese Sicherheitslücke jemand zu Schaden gekommen ist. Ich gebe dir zwar ganz klar Recht, dass es Möglichkeiten geben muss um solche Situationen zukünftig zu vermeiden, aber bin auch diesmal wieder der Meinung, dass das Thema in der Presse furchtbar aufgebauscht wurde (Auflage, Auflage…).
Zu der These möchte ich zwei Sachen anmerken:
1. In den allerwenigsten Fällen wird sich ein Hacker die Mühe machen ein Gerät gezielt zu hacken (es sei denn er hat es persönlich auf ihn abgesehen), da er in der Zeit auch einfach einen Trojaner über einen Emailverteiler schicken kann, wodurch er an die PC-Daten/Passwörter/wasauchimmer der Einfälltigen kommt, und das quasi ohne Mühe.
2. IOS gilt als absolut sicher, dennoch sind es in der Vergangenheit fast ausschließlich die Appledaten gewesen, die im Mobilbereich in Massen abgegriffen wurden -> ICloud sei dank (zuletzt die ganzen Prominacktfotos, davor der riesige australische IPadhack um nur zwei der größten Aktionen zu nennen)
Ich will damit nichts beschönigen, jedoch die pauschale Verteufelung von Google an der Stelle etwas relativieren. Andere machen es auch nicht viel besser, nur anders. (Bezieht sich jetzt nicht zwangsläufig auf dich, die ganze Berichterstattung zu dem Thema war mir zu reißerisch)
Gruß Björn
Hallo Björn,
ich denke nicht, das eingeschleuster Code bei SuperSU anklopft um dort nach Root-Rechten zu fragen. Das kann durchaus unbemerkt von Dir passieren. SuperSU schützt einen nicht automatisch, sondern bietet nur einen Weg, Root zu erlangen – es versperrt nicht andere Wege.
Um es mal bildlich zu beschreiben: Nur weil mein Gartentor ein Schloss hat, schließt es noch lange nicht alle Lücken im Zaun…
Ich sehe das ehrlich gesagt nicht so, dass Google verteufelt wird. Ich bin eigentlich überrascht, dass man da nicht lauter Kritik übt. Alle Welt berichtet von Stagefright, alle mosern über Fragmentierung, aber dass Google unfähig oder unwillens ist, ein System für Sicherheits-Updates in Android zu bauen, das nicht von den Update-Zyklen jeden einzelnen Herstellers abhängt, finde ich schon ziemlich skandalös. Wenn das Microsoft bei Windows passieren würde…
Gruß,
Klaus
Hallo Klaus,
ich weiß halt nicht genau, ob Rootapps bei SuperSU anklopfen müssen oder ob SuperSU nach Root-Zugriffen in Echtzeit sucht um sich heldenhaft dazwischenzuwerfen, wobei ich letzteres für warscheinlicher halte – zumindest was das „normale“ Root angeht. Am Ende des Tages soll SuperSU schließlich für Sicherheit unter Root sorgen – Rooten ansich kann man auch durchaus ohne SuperSU und Konsorten, dann hat einfach alles Rootrechte ohne nachzufragen.
Die Schlagzeilen in den Massenmedien zu dem Thema waren halt „Die Mutter aller Sicherheitslücken“; „Stagefright – 94% aller Androidgeräte sind gefährdet“ oder „900.000.000 Androidgeräte können durch eine einfache MMS gehackt werden“
Sowas klingt schon arg nach Panikmache, und das obwohl selbst der Entdecker der Lücke es für unwarscheinlich hält, dass ein Hacker den Aufwand betreiben würde und auch nirgends die Anzahl der bekannten Angriffe erwähnt wird (in Fachmedien schon – Null). (…und die besteht nunmal, wer wüsste das nicht, aus Angst, Hass, …. und dem Wetterbericht)
Nur darauf wollte ich hinaus, als ich von der unverhältnismäßigen Verteufelung angefangen habe.
Ich gebe dir natürlich vollkommen Recht, dass hier massiver Handlungsbedarf besteht. Google hierbei aber Unwillen zu unterstellen halte ich für harsch. Ich halte die Grundidee von Android, mit seinem OpenSourcegedanken für toll, aber auch diese scheitert mal wieder an der Realität (könnte jetzt diverse Vergleiche in der Politik bringen). Die Idee ist schließlich, dem Hersteller (und auch der Community) ein Gerüst in die Hand zu geben, auf dem sie ihre eigene, angepasste Version eines Betriebssystems bauen können. Updates werden ständig und kostenlos zur Verfügung gestellt. Das die Hersteller an der Stelle halt nicht willens sind diese weiterzugeben (sonst kaufen die Kunden ihr nächstes Gerät womöglich erst später – Kapitalismus pur) ist eher Schuld des gutgläubigen Systems, mit dem man gestartet hat.
Dieses System fährt Google spätestens mit Lollipop deutlich zurück. So wurden z.B. ehemals systemeigene Funktionen in Apps ausgelagert (hallo WebView-Lücke).
Ob das genug ist in meinen Augen? Sicher nicht! Für Leute wie mich, die sich gern im System austoben ist Android mit Abstand die beste Lösung atm. Was die Sicherheit, die Updates und ähnliches angeht sind die beiden anderen weit voraus, vermutlich uneinholbar. (Wenn nicht das komplette System über den Haufen geworfen wird und Herstelleraufsätze zukünftig abgeschafft/nur noch via Bloatware erlaubt werden) Auch deshalb bin ich der Überzeugung, dass Windowsphone mittelfristig den Markt übernehmen/beherrschen wird (klingt albern, ist mMn aber realistisch). Mit Windows 10 sind hier Voraussetzungen geschaffen worden, die die Schwächen (vor allem den Appshop) ausmerzen können und die Stärken (wie die Zusammenarbeit der Systeme) sogar noch weiter Stärken.
Wie gesagt, ich respektiere und verstehe deine Meinung, gehe aber nicht vollständig damit konform 😉
Gruß Björn
Hi Björn,
Google steht da sicher keine einfache Aufgabe bevor. Aber gerade das Binden von Sicherheitspatches an neue Versionen (die die Hersteller wie Du schon sagtest vielleicht gar nicht sooo gerne kostenlos verteilen…) ist eine Ursache des Problems. MS sollte sich mal wagen, heute den Support von Win7 und Win8 / 8.1 einzustellen. Google macht das weitestgehend – und wir so zumindest für geschäftliche Nutzer zu einem echten Problem. Mich würde mal interessieren, wie viele IT-Abteilungen mittlerweile Android Endgeräte aus dem Firmennetz ausschließen. Die Zahl wird nicht klein sein, aber komischerweise findet man im Netz nichts dazu.
Letztendlich wird Google auf die Dauer das UI stärker von den internen Funktionen trennen müssen (à la Model/View/Controller) oder einen eigenen Customization-Layer anbieten, mit dem die großen Hersteller ihr eigenes Look&Feel beibehalten können, das System selber aber direkt von Google gepatcht werden kann. Es macht einfach keinen Sinn, Sicherheitspatches durch eine derart lange Kette laufen zu lassen…
Das Herauslösen von Funktionalität in Apps hat übrigens auch Nachteile: Diese Apps sind nämlich in den seltensten Fälle noch Open-Source… so wird Android immer weniger offen…
Gruß,
Klaus
PS: Es wäre doch fast langweilig, wenn wir immer genau einer Meinung wären 😉
Hallo Klaus,
ja, dass mit dem eigenen Systemupdates ist das, was ich oben sagen wollte (wenn auch mit weniger Fachbegriffen 😀 )
Hat aber zwangsläufig den Nachteil, dass der OpenSourcecharakter darunter leidet. Wird sich für ein so gewaltiges Projekt wie Android aber wohl nicht vermeiden lassen. Open Source ist vermutlich einfach nicht Massenmarkttauglich. Daher wird Android für die Lösung des Problems entweder vollständig umgebaut werden, durch ein neues System ersetzt oder – wie von mir vermutet – durch Windowsphone als Marktführer abgelöst.
Der Vergleich mit Windows ist zwar nett, hinkt aber an der Stelle, dass MS die Systeme ebenfalls direkt updated. Wir hatten es ja schon einmal davon, dass Google sich die Mühe in der Realität nicht machen braucht, da Patches für ältere Versionen ohnehin nicht beim Verbraucher ankommen.
Eingestellten Support für ICS und davor kann ich übrigens völlig verstehen. Selbst Win XP ist inzwischen eingestellt – was durch die kürzeren Produktlebenszyklen wohl problemlos vergleichbar ist. In welchen Versionen Stagefright gepatcht wird ist mir aktuell nicht bekannt. Gibt es da schon eine Aussage seitens Google?
Gruß Björn
Hallo Klaus,
da Du gerade dies mit dem Update angesprochen hast, war denn nicht auch mal für das Ulefone be Pro ein Update auf 5.0 zumindest geplant?
lg Holger
Hallo Holger,
Ja, das scheint es auch gegeben zu haben, auf meinem wurde es aber nie angeboten – vermutlich, da es bei Start sehr viele Probleme gab. Keine Ahnung wie der Status jetzt ist, bei meinem Be Pro ist der Einschalter defekt, ich bekomme es nicht mehr eingeschaltet…
Gruß,
Klaus
@ Klaus,
ich habe es noch, aber kein Update bekommen. Ja, der Schalter machte von Anfang an einen wackeligen.
na mal sehen wenn er sich bei mir verabschiedet.
Gruß Holger