„New ‚Metaphor‘ Android virus“ schreibt die ibtimes aus Korea und andere Newsseiten tippen die Botschaft fröhlich ab. Doch beim gestern veröffentlichten Metaphor Exploit handelt es sich überhaupt nicht um ein Virus, sondern einen ganz normalen Exploit, der die Sicherheitslücken von Stagefright ausnutzt. Grund zur Panik gibt es keinen.
Der Stagefright-Bug in Android verfolgt uns nun schon eine ganze Weile. Nachdem Zimperium die Schwachstelle im Android-Code Mitte Juli 2015 gefunden hatte, kamen ein paar weitere damit verbundene Lücken zum Vorschein, die von Google inzwischen über die monatlichen Sicherheitsupdate behoben wurden. Auch Hersteller wie Samsung, LG und weitere haben entsprechende Patches für die Lücke ausgeliefert, die im Prinzip alle Androiden zwischen 4.0 und 5.1 betrifft.
Bereits im September 2015 veröffentlichte Google selbst ein Blog-Posting, das einen möglichen Weg für einen Exploit aufzeigte. Zu dieser Zeit waren die ersten Nexus-Geräte bereits gepatched, die Lücke geschlossen. Einen auf diesem Code basierenden Exploit hat nun die israelische Software-Firma NorthBit in einem Paper und einem Video vorgestellt.
Das Video selbst stellt mehr Fragen als es beantwortet. Zum Beispiel wird der „Real Time“ Zähler unten links einfach mal ausgeblendet und auch die Übernahme durch den CC-Server wird geschnitten gezeigt, nicht in voller Länge. Benutzt haben die „Hacker“ ein Nexus 5 mit einer veralteten Android-Software. Auf den aktuellen Builds würde der Hack nicht mehr funktionieren. Ebenfalls veraltet ist die benutzte Chrome-Version. Zudem funktioniert der Hack nicht, wenn der Browser kein JavaScript ausführt.
Lesenswert ist hingegen das zugehörige Paper von NorthBit (PDF), das im Detail erklärt, wie man die Lücke ausnutzt. Und das ist alles andere als einfach: Vor allem das Aushebeln von ASLR haben die Hacker bei NothBit clever gelöst, with a little help from Google.
Das Paper erklärt aber auch gleich mit, dass der Exploit „am besten“ auf dem Nexus 5 mit Android 5.0.1 funktioniert. Andere ROMs bzw. andere Hersteller benötigen eine angepasste Version:
„This research shows exploitation of this vulnerability is feasible. Even though a universal exploit with no prior knowledge was not achieved, because it is necessary to build lookup tables per ROM, it has been proven practical to exploit in the wild. Our exploit works best on Nexus 5 with stock ROM. It was also tested on HTC One, LG G3 and Samsung S5, however exploitation is slightly different between different vendors. Slight modifications were needed.“
Es gibt also keinen generischen Exploit für alle Android-Geräte mit den betroffenen Versionen.
Viel Lärm um nichts Neues
Es gibt also keinen neuen Android-Virus, der Millionen von Android-Geräten bedroht, dieser ist schon seit Juli 2015 quasi da. Es gibt lediglich einen Proof-of-Concept einer Sicherheitsfirma mit einem eher zweifelhaften Video aber einem gut dokumentierten und lesenswerten Paper. Wenn du noch Android 5.1 oder älter benutzt und dein Hersteller keine Sicherheitsupdates mehr ausliefert, dann solltest du zu einem sicheren Custom-ROM wechseln oder JavaScript im Browser nur bei vertrauenswürdigen Seiten nutzen.