BlueStacks enthielt mehrere „schwerwiegende“ Sicherheitslücken: Beliebter Android-Emulator für Mobilgeräte und PCs erlaubt Remote-Codeausführung?

BlueStacks, einer der beliebtesten und am weitesten verbreiteten Android-Emulatoren für Mobilgeräte und PCs, wies mehrere schwerwiegende Sicherheitslücken auf. Diese Fehler ermöglichten es Angreifern, willkürlichen Code aus der Ferne auszuführen, Zugriff auf persönliche Informationen zu erhalten und Backups der VM (Virtual Machine) und ihrer Daten zu stehlen.

BlueStacks, der kostenlose Android-Emulator, der von Investoren wie Intel, AMD, Samsung und Qualcomm unterstützt wird, gab die Existenz der Sicherheitslücken bekannt. Diese Fehler könnten, wenn sie richtig ausgenutzt werden, Angreifern möglicherweise eine Möglichkeit bieten, Code aus der Ferne auf anfälligen Systemen auszuführen. Angesichts der Tatsache, dass BlueStacks einer der am häufigsten verwendeten Android-Emulatoren ist, war das Risiko für Benutzer ziemlich groß. Wenn dies nicht besorgniserregend genug ist, könnten die Schwachstellen Angreifern auch ermöglichen, bösartige Android-Apps aus der Ferne zu installieren, die häufig über APKs verbreitet werden.

Das Unternehmen hinter dem Emulator veröffentlichte eine Sicherheitsempfehlung, in der auf die Existenz eines schwerwiegenden Sicherheitsfehlers hingewiesen wurde. Offiziell als CVE-2019-12936 gekennzeichnet, existiert die Schwachstelle im IPC-Mechanismus von BlueStacks und einer IPC-Schnittstelle. Im Zentrum stand das Fehlen korrekter und gründlicher Authentifizierungsprotokolle. Der Fehler hat einen CVSS-Score von 7,1 erhalten, was viel niedriger ist als der Sicherheitslücke in Oracle WebLogic Server über die wir kürzlich berichtet haben. In der Empfehlung heißt es: „Ein Angreifer kann DNS-Rebinding verwenden, um über eine bösartige Webseite Zugriff auf den IPC-Mechanismus des BlueStacks App Player zu erhalten. Von dort aus können verschiedene exponierte IPC-Funktionen missbraucht werden.“

Im Wesentlichen ermöglicht die Sicherheitslücke Angreifern die Verwendung von DNS-Rebinding. Die Funktionsweise liegt im clientseitigen Skript, um den Browser eines Ziels in einen Proxy für Angriffe zu verwandeln. Der Fehler gewährte Zugriff auf den BlueStacks App Player IPC-Mechanismus. Einmal ausgenutzt, würde der Fehler die Ausführung von Funktionen ermöglichen, die dann für eine Vielzahl verschiedener Angriffe verwendet werden könnten, die von der Remotecodeausführung bis zur Offenlegung von Informationen reichen. Mit anderen Worten, ein erfolgreicher Exploit des Fehlers könnte zur Remote-Ausführung von Schadcode, massiven Informationslecks des Opfers und zum Diebstahl von Datensicherungen im Emulator führen. Der Fehler könnte auch verwendet werden, um APKs ohne Autorisierung auf der virtuellen BlueStacks-Maschine zu installieren. Im Übrigen scheint die Sicherheitsbedrohung auf das Opfer beschränkt zu sein und kann sich anscheinend nicht mit der BlueStacks-Installation oder dem Computer des Opfers als Zombie verbreiten.

Welche BlueStacks-Versionen sind von der Sicherheitslücke betroffen?

Es ist schockierend festzustellen, dass der Angriff lediglich erfordert, dass das Ziel eine bösartige Website besucht. Die Sicherheitslücke besteht in der Version 4.80 und niedriger des BlueStacks App Players. Das Unternehmen hat einen Patch veröffentlicht, um die Schwachstelle zu beheben. Der Patch aktualisiert die Version von BlueStacks auf 4.90. Benutzern des Emulators wird empfohlen, die offizielle Website zu besuchen, um ihre Software zu installieren oder zu aktualisieren.

Es ist ein wenig besorgniserregend, dass BlueStacks diesen Fix nicht auf die Versionen 2 oder 3 zurückportiert. Mit anderen Worten, BlueStacks wird keinen Patch für die archaischen Versionen des Emulators entwickeln. Obwohl es höchst unwahrscheinlich ist, dass sich viele Benutzer an diese alten Versionen halten, wird dringend empfohlen, dass Benutzer frühestens auf die neueste Version von BlueStacks aktualisieren, um ihre Installationen und Daten zu schützen.

Es ist interessant festzustellen, dass BlueStacks für einen DNS-Rebinding-Angriff anfällig war, da es eine IPC-Schnittstelle auf 127.0.0.1 ohne Authentifizierung freilegte. Dies ermöglichte es einem Angreifer, DNS-Rebinding zu verwenden, um Remote-Befehle an den IPC-Server des BlueStacks-Emulators auszuführen, berichtete Bleeping Computer. Der Angriff ermöglichte auch die Erstellung eines Backups der virtuellen BlueStacks-Maschine und aller darin enthaltenen Daten. Es ist unnötig hinzuzufügen, dass die Datensicherung problemlos sensible Informationen wie Anmeldeinformationen für verschiedene Websites und Plattformen sowie andere Benutzerdaten enthalten kann.

BlueStacks hat die Sicherheitslücke erfolgreich gepatcht, indem ein IPC-Autorisierungsschlüssel erstellt wurde. Dieser sichere Schlüssel wird jetzt in der Registrierung des Computers gespeichert, auf dem BlueStacks installiert ist. Im weiteren Verlauf müssen alle IPC-Anforderungen, die die virtuelle Maschine empfängt, den Authentifizierungsschlüssel enthalten. Wenn dieser Schlüssel nicht enthalten ist, wird die IPC-Anfrage verworfen, wodurch der Zugriff auf die virtuelle Maschine verhindert wird.

Facebook Twitter Google Plus Pinterest