Immer noch hält die Stagefright-Lücke die Android-Nutzer und -Hersteller in Atem, da haben Forscher von IBM schon die nächste Lücke in Googles Betriebssystem entdeckt: Durch einen Fehler in einer internen Systemfunktion kann der Angreifer beliebigen Code im Kontext einer App ausführen und diese gar gegen eine andere austauschen. Die Lücke betrifft wieder eine große Zahl von Nutzern und war auch in der ersten Preview-Version von Android M vorhanden.
So langsam fliegt Google die Tatsache um die Ohren, dass es keine Kontrolle über die Updates von Android hat bzw. die Auslieferung dieser nicht beeinflussen kann. Die jetzt entdeckte Lücke betrifft alle Versionen von 4.3 bis 5.1 inklusive der Android M-Preview und wurde von Google bereits gestopft. Ob der Patch aber auch bei den Endnutzern ankommt, insbesondere auf Grund der Tatsache dass dieser Bug bei weitem nicht solche Schlagzeilen generiert wie die Stagefright-Lücke, ist natürlich mehr als fraglich.
https://www.youtube.com/watch?v=VekzwVdwqIY
Und so funktioniert die Lücke:
Die Schwachstelle steckt in der Klasse OpenSSLX509Certificate, wie Or Peles und Roee Hay in ihrem Papier erläutern (PDF-Dokument). Sie enthält mit mContext ein Attribut, das auf lokalen Speicherplatz zeigt und nicht mit transient markiert ist. Übergibt eine App so ein Objekt per Intent an eine andere Anwendung, wird beim Serialisieren und Deserialisieren der Wert von mContext fälschlicherweise ebenfalls übertragen. Gibt der Garbage Collector (GC) das deserialisierte Objekt frei, wird dessen finalize-Methode aufgerufen, die wiederum Zugriff auf den Inhalt von mContext hat.
(Zitiert von heise.de)
Wie man unter anderem auch im Video sehen kann, lässt sich durch Ausnutzung der Lücke etwa eine App austauschen und beeinflussen und beliebiger Code mit dessen Berechtigungen ausführen. Den Forschern war es sogar möglich, den Kernel anzugreifen und dessen Einschränkungen aufzuheben – was den Bug natürlich zu einer schweren Lücke macht. Google hat den Bug behoben und den Patch an die Hersteller verteilt, ob diese den aber auch für ältere Geräte ausliefern ist mehr als fraglich.
Erst vor wenigen Tagen haben Google und Samsung angekündigt, in Zukunft monatliche Sicherheitsupdates für ihre Smartphones auszuliefern und so Sicherheitslücken gar nicht erst zu einer großen Verbreitung zu helfen. Auch LG hat sich mittlerweile diesem Programm angeschlossen und wird seine Smartphone stets aktuell halten. Beide Hersteller haben aber noch keine Liste von Geräten veröffentlicht bzw. sich nicht dazu geäußert wie lange sie ihre älteren Modelle noch aktuell halten wollen.
» Beschreibung der Lücke (PDF)
[heise]