Stagefright Exploit + 2.0 - Was kommt denn noch?

[Tanis64]

Infos zu dem Exploit:
Android-Smartphones über Kurznachrichten angreifbar | heise Security
Stagefright: It Only Takes One Text To Hack 950 Million Android Phones - Forbes

Bei den XDAs empfiehlt jemand alles was mit Stagefright zu tun hat abzuschalten.
Dürfte auf einem neueren Androiden nicht viel ausmachen das Stagefright nicht mehr enabled ist.
Muss aber jeder selbst wissen und das funktioniert nur auf einem gerooteten Androiden.
Ausserdem sollte sich jeder des Riskos bewusst sein, wenn er an der build.prop rumbastelt.
Konnte das ganze nocht nicht testen.

In der build.prop (hier z.B. von meinem S4)
Original Einstellungen:
...
#
# system props for the MM modules
#
media.stagefright.enable-player=true
media.stagefright.enable-meta=false
media.stagefright.enable-scan=true
media.stagefright.enable-http=true
media.stagefright.enable-fma2dp=true
media.stagefright.enable-aac=true
media.stagefright.enable-qcp=true
media.enable-commonsource=true
...
Alles aus:
...
#
# system props for the MM modules
#
media.stagefright.enable-player=false
media.stagefright.enable-meta=false
media.stagefright.enable-scan=false
media.stagefright.enable-http=false
media.stagefright.enable-fma2dp=false
media.stagefright.enable-aac=false
media.stagefright.enable-qcp=false
media.enable-commonsource=true
...

 

[S13gfried]

Hier mal wieder was aktuelles:
Schwere Sicherheitslücke in Android entdeckt: 950 Millionen Nutzer betroffen - GWB

--> Schadcode per MMS aufs Handy IM Video versteckt. Android liest da Video schon aus, bevor es zu einer Benachrtichtigung kommt um es gleich in der Gallerie zur Verfügung zu stellen.
Dann ist es quasi schon zu spät.

Derzeit ist noch kein Fall bekannt.

Mir wäre an der Stelle wieder schleierhaft, wie eine App das verhindern könnte. Sie müsste noch vor "offizieller" Benachrichtigung über den MMS/SMS Receiver eingreifen können, was bekanntlich nicht geht.

_____________

Das hier ist auch ganz gut, von Experten:
http://www.noz.de/deutschland-welt/...eitslucke-betrifft-95-prozent-der-smartphones

Allerdings Experte von Kaspersky. Aber dennoch halbwegs ok. Auch er spricht von dubiosen Quellen und dummen/naiven/unbedachten Usern als Haupteinfallstor für eventuelle Schadsoftware.

 

[Lauschebart]

Der Stagefright-Artikel bei heise.de hat ein Update bekommen:

Update vom 28. Juli, 10:30 Uhr: Offenbar betrifft der Angriffsvektor MMS vor allem Android-Versionen, die älter als 4.1 sind. Neuere Versionen sind mit Schutzfunktionen ausgestattet, die das Ausnutzen über MMS erschweren. Die Lücken im Stagefright-Framework klaffen aber auch hier und lassen sich vermutlich auch für Angriffe missbrauchen.

Die Entwickler der alternativen Android-Distribution CyanogenMod erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der Nightly Build von 12.1 geschlossen haben. Eine abgesicherte Version 11 soll am Wochenende folgen. Durch die öffentlich einsehbaren Änderungen an CyanogenMod sind weitere Details über die Schwachstellen bekannt geworden: Es handelt sich um Speicherfehler, die bei der Verarbeitung von Videodateien in den Formaten MPEG4 und 3GPP auftreten.

Also sind zumindest neuere Android-Versionen vor Angriffs-MMS sicher.

 

[guidonu]

Bei ungerooteten Geräten kann man - meiner Meinung nach - zumindest erst einmal in den MMS-Einstellungen aller MMS-fähigen Apps den automatischen Empfang deaktivieren (also auch Hangout, Google Messenger).
Das ist natürlich nur eine erste Abhilfe und schützt nicht umfassend vor dieser Sicherheitslücke.

 

[currock]

Ich habe hier ein gerootetes THL 5000 mit der Firmware 1.1.1.
In meiner /system/build.prop finde ich keine Einträge, in denen stagefright vorkommt. Kann ich davon ausgehen, daß es dann auch nicht aktiviert ist? Oder wird das an einer anderen Stelle konfiguriert? Mehrere libstagefright_xxx.so befinden sich jedenfalls unter /system/lib/ und data/app-lib/FlashPlayer/ .
Sind das inaktive Überbleibsel aus alten Android-Versionen?

 

[Tanis64]

Ich denke eher nicht das dies inaktive Überbleibsel sind.
Es kann durchaus sein das in der build.prop die Einträge einfach nicht vorhanden sind beim THL 5000. Das heißt aber meiner Meinung nach nicht das Stagefright nicht Aktiv ist, da es eine Bestandteil von Android ist.
Ich würde auch mal Versuchen die build.prop entsprechend zu erweitern, aber nur wenn Du die Möglichkeit hast übers Recovery oder über ADB wieder das Original einzuspielen falls es dadurch zu einem Bootloop kommt.
Oder mal den Versuch starten die Libraries durch umbenenen zu 'deaktivieren' aber auch nur dann wenn Du die Möglichkeit hast das Rückgängig zu machen (ADB, Recoverey).

 

[Andi_K]

Hallo,

ich habe Hangouts nicht als Standard-SMS-App eingerichtet, kann dort also auch den MMS-Empfang nicht deaktivieren.
Reicht es in dem Fall, den automatischen MMS-Download in der Nachrichten-App zu deaktivieren, oder sollte ich Hangouts besser auch komplett deaktivieren?

 

[4ndr0]

Die Messaging App deaktivieren / deinstallieren sollte doch reichen?

\\
Hmm, offenbar nicht. Allerdings sollte man mit dem Bearbeiten der build.prop vorsichtig sein und vorher ein Backup anlegen > About Android MMS Stagefright exploit - Post #18 - XDA Forums

Außerdem sollte man die Datei nicht unter Windows bearbeiten und aufs Telefon schieben, da Windows andere Escape-Sequenzen für Zeilenumbrüche verwendet als Unix.

Also wer das testen möchte, sollte das am Besten direkt per SSH auf dem Telefon tun. Oder einen build.prop Editor verwenden.

 

[Andi_K]

Hm, das mit der build.prop ist leider nicht auf allen meinen Geräten eine Option, da Root bei einigen davon aus unterschiedlichen Gründen nicht in Frage kommt.

Ich hab mich mal ein bisschen in den Thread bei XDA eingelesen, und dort ist auch mehrfach die Rede davon, dass ein Abschalten des automatischen MMS-Empfang zumindest einen gewissen Schutz bringt.

Ich bin mir aber immernoch nicht sicher, was jetzt mit Hangouts ist, wenn man das nicht als Standard-SMS-App eingerichtet hat. Um zu dem Menüpunkt mit dem automatischen MMS-Download zu kommen, müsste ich das nämlich erstmal als Standard-App einrichten, was ich aber eigentlich nicht vorhabe. Kann mich da jemand aufklären, ob Hangouts in meinem Fall (ich bin da ja sicher nicht der einzige...) ein mögliches Einfallstor für den Exploit ist, oder nicht?

Und gleich noch eine Frage:
Ich habe im Netz unterschiedliche Meinungen dazu gefunden, ob Messenger wie Whatsapp oder Textsecure auch betroffen sind. Weiß da jemand was definitives?

Danke & schönen Gruß
Andi

 

[4ndr0]

Man kann Hangouts nicht öffnen, ohne es als Standard einzurichten? Rly? Na dann einfach deaktivieren oder löschen.

Textsecure ist nicht betroffen, da es kein pre-processing von eintreffenden MMS durchführt, man muss die explizit öffnen > Stagefright Vulnerability: No way to disable auto-downloading of MMS · Issue #3817 · WhisperSystems/TextSecure · GitHub

Und wer Whatsapp nutzt, hat sowieso schon eine Facebook-Wanze auf dem Telefon, da braucht man sich um weitere Sicherheitslücken auch keine Gedanken mehr machen.

 

[Andi_K]

Doch, man kann Hangouts öffenen ohne es and Standard einzurichten.
Aber an die SMS- und MMS-Einstellungen kommt man nicht dran, ohne das zu tun. Daher meine Frage.

Ja, wer Whatsapp nutzt hat eine Facobook-Wanze. Und wer Android nutzt hat eine Google-Wanze. Und jetzt? Hat evtl noch jemand wirkliche Antworten auf meine Fragen...?

 

[4ndr0]

2 habe ich doch beantwortet. Hangouts deaktivieren oder löschen. Und wenn du es weiter benutzen willst, richte es halt als Standard ein, ändere die Settings und dann stell es wieder zurück.

Textsecure ist nicht betroffen. Zumindest kann hier nichts ohne dein Zutun passieren.

Zu Whatsapp kann ich dir nichts sagen, wusste nicht mal, dass man damit auch SMS/MMS versenden kann.

 

[Andi_K]

Ja, stimmt. Die Frage zu Textsecure hattest Du beantwortet, und der Vorschlag zu Hangouts macht jetzt auch Sinn.
Sorry.

Mit Whatsapp kann man m.W. keine SMS oder MMS versenden / empfangen, aber es werden - zumindest in den Standard-Einstellungen - Medien-Dateien automatisch runtergeladen. Daher meine Frage, ob der Exploit auch auf diesem Weg aufs Handy kommen kann. Da war ein saloppes "Whatsapp is eh scheiße" halt eher nur so mittelmäßig hilfreich ;-)

Und gleich noch eine Zusatzfrage: irgendwo hab ich gelesen, dass der Exploit nur über Videodateien kommt. Bei Messengern wo man das in den Einstellungen unterscheiden kann, könnte man dann den automatischen Download von Bildern anlassen und nur den für Videos ausschalten, oder?

 

[4ndr0]

Sorry, Whatsapp löst bei mir immer so eine Art Beissreflex aus

Du hast vermutlich bei Heise gelesen, dass MPEG4 und 3GPP Dateien betroffen sind. Die sollte man also meiden.

Aber mal ganz ehrlich: Es gibt tatsächlich noch Menschen, die MMS nutzen? oO

 

[mrrbr]

Auf Heise gibt es ein Update der Meldung:

Update vom 28. Juli, 10:30 Uhr: Offenbar betrifft der Angriffsvektor MMS vor allem Android-Versionen, die älter als 4.1 sind. Neuere Versionen sind mit Schutzfunktionen ausgestattet, die das Ausnutzen über MMS erschweren. Die Lücken im Stagefright-Framework klaffen aber auch hier und lassen sich vermutlich auch für Angriffe missbrauchen.

Die Entwickler der alternativen Android-Distribution CyanogenMod erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der Nightly Build von 12.1 geschlossen haben. Eine abgesicherte Version 11 soll am Wochenende folgen. Durch die öffentlich einsehbaren Änderungen an CyanogenMod sind weitere Details über die Schwachstellen bekannt geworden: Es handelt sich um Speicherfehler, die bei der Verarbeitung von Videodateien in den Formaten MPEG4 und 3GPP auftreten.

Jetzt mal aber aller Paranoia zum Trotz:
Wurde so eine MMS schon mal in "freier Wildbahn" gesichtet? Und rein theoretisch müsste das dann ja die Daten irgendwohin senden. Das ganze sollte mit einer Firewall o.Ä. ja dann auch blockierbar sein.

*Nachtrag*
Gerade mal etwas rumgesucht und auf Stern.de etwas gefunden, das mal nicht wie die typische "Oh-Gott-wir-werden-alle-sterben-Meldung" klingt. (Was ich normalerweise von solchem "Qualitätsjournalismus halte, sage ich jetzt nicht) -> Stagefright: So schützen Sie Ihr Android-Smartphone - Smartphones | STERN.de

.....
Natürlich kann das reine Abschalten des automatischen Empfangs die Gefahr nicht vollständig bannen. Denn wer die empfangene MMS antippt, kann sein Smartphone immer noch verseuchen. Immerhin verhindert diese Methode aber den Angriff ohne Zutun des Besitzers – und macht es so möglich, vorsichtig zu sein. MMS von unbekannten Nummern sollten daher am besten überhaupt nicht geöffnet werden. Bei Nachrichten von Freunden besteht ebenfalls die Möglichkeit, dass sie von einem verseuchten Gerät stammen. Ist man sich unsicher, sollte man vor dem Öffnen lieber noch einmal nachfragen, ob derjenige die Nachricht tatsächlich selbst verschickt hat.

Daher: Einfach sein Hirn nutzen, dann ist der Punkt schon mal unterbunden.

 

[Aaskereija]

Ich glaube viele solche Exploits wurden/werden auch niemals von Hackern ausgenutzt, weil es einfach zu individuell ist. Fast jedes Handy hat nen Hersteller aufsatz und jeder Hersteller murkst da ein bisschen rum, ich kann mir gut Vorstellen das so mancher Exploit auf so manchen Geräten so garnicht funktioniert, auch wenn natürlich der Exploit da ist, aber einfach die Abhängigkeit bzw. die entsprechenden Rechte etc. fehlen.

 

[mrrbr]

Kann sich noch einer an Heartbleed erinnern? Das Thema hatte hier gerade mal eine "Halbwertszeit" von ca. 3 Monaten. Da kräht auch kein Hahn mehr danach. Und es sind auch von dieser Lücke noch zig Millionen Geräte betroffen. Selbst da gab es keinerlei Meldungen über gekaperte Geräte oder User denen dadurch ein Schaden entstanden ist.

 

[Marlow]

Hallo allerseits,
gestern habe ich in der Tagespresse etwas über ein bösartiges Video gelesen, dass sich auf Android Handys (ab 4.2 aufwärts) verbreitet und das System total zerstören kann.

Hat jemand schon was davon gehört,
und ist da was dran ?[emoji33]

 

[Techno_freak]

Wo hast das gehört? Könntest evtl. den link schicken.

 

[dacryptor]

Er meint Stagefright.