Lokale DOS-Attacke: Präpariertes Video in MKV-Container bringt aktuelle Android-Versionen zum Absturz
Erst vor einigen Tagen ist die StageFright-Lücke für Android geworden, die noch immer nicht gestopft ist, da taucht schon die nächste Lücke im System auf – die allerdings derzeit noch nicht ganz so prekär ist wie die erste. Mit einem präparierten Video in einem MKV-Container lässt sich das Betriebssystem komplett lahmlegen und ist anschließend kaum noch nutzbar. Im schlimmsten Fall hilft dann auch ein Neustart nicht mehr.
Videos scheinen derzeit eine große Schwachstelle von Android zu sein: Mit der StageFright-Lücke kann ein Angreifer nahezu die volle Kontrolle über das Smartphone übernehmen ohne dass der Nutzer dies bemerkt – und das über ein einfaches per MMS verschicktes Video. Im aktuellen Fall kommt wieder ein manipuliertes Video zum Einsatz, das sich in einem MKV-Container befindet und das ganze System beim Abruf des Videos zum Absturz bringen kann. Betroffen sind die Android-Versionen 4.3 bis 5.1.1
https://www.youtube.com/watch?v=gjn5QTaQ0fk
Der Bug befindet sich im Mediaserver von Android und liegt genauer gesagt in dem Bereich der für das Parsing der Audio-Spur verantwortlich ist. Durch gezielte Manipulation ist es möglich, dass hier ein Integer Overflow geschieht und das System veranlasst Daten in NULL zu schreiben und auch von dort zu lesen. Daraufhin wird das Smartphone extrem langsam und das UI reagiert kaum noch auf die Befehle des Nutzers. Außerdem ist die gesamte Audioausgabe Schachmatt gesetzt, so dass auch keine Benachrichtungstöne mehr abgespielt werden können. Aber es kommt noch schlimmer: Wenn das Gerät gesperrt ist, lässt es sich kaum noch einschalten und demzufolge auch nicht mehr entsperren – dann hilft nur noch ein Neustart.
Nach einem Neustart ist das Problem wieder behoben, da sich das Video natürlich nicht mehr im Speicher befindet und verarbeitet wird. Doch Entdecker Trend Micro hat zwei Angriffsszenarien testen können, bei denen der Nutzer kaum noch Einfluss hat: Zum einen kann das Video in eine App eingebettet werden die sich im Autostart befindet, so dass auch ein Neustart des Smartphones keine wirkliche Abhilfe bringt und das ganze nur von vorne beginnt. Zum anderen war es auch möglich, das Video in eine Webseite einzubetten und direkt im Chrome-Browser aufzurufen, wobei auch gleich noch einige Sicherheitsmechanismen des Browsers ausgehebelt worden sind.
Trend Micro hat das Problem bereits am 15. Mai an Google gemeldet und hat am 20. Mai die Antwort vom Unternehmen bekommen, dass der Bug als „Low Priority“ eingestuft. Da ein solches Video zwar sehr ärgerlich ist, aber keinem Angreifer die Kontrolle über das Smartphone gibt, ist die Einstufung auch sehr gut nachzuvollziehen. Doch bis zum heutigen Tag hat Google noch keinen Patch angekündigt und scheint derzeit wohl auch gar nicht daran zu arbeiten – weshalb Trend Micro nun die Details zu diesem Bug veröffentlicht hat.
» Ausführliche Beschreibung bei Trend Micro
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Die StageFright-Lücke ist in aktuellen CM Nightlies (CM 11 soll bald folgen) behoben. Ein Grund mehr, nicht auf Stock-Android zu setzten. Bin gespannt, ob CM auch so schnell auf die MKV Lücke reagiert.