Black Hat 2007: Angriff per Audio- und Videostream

Ein Sicherheitsexperte demonstrierte auf der Black Hat, wie sich Audio- und Videodateien so manipulieren lassen, dass sie als Angriffstools dienen können.

Der Verstecken von Schadcode in herkömmlichen Audio- und Videostreams birgt große Gefahren: Laut David Thiel vom kalifornischen IT-Sicherheitsunternehmen iSec Partners gibt es noch keinen wirkungsvollen Schutz vor solchen Angriffen. Angesichts der massenhaften Verbreitung von Multimedia-Streams auf Seiten wie Youtube oder Myspace rechnet Thiel mit einem riesigen Angriffspotenzial. Noch ist ihm allerdings kein Angriff untergekommen, der auf dieser Technik beruht.

Wie leicht sich MP3- oder Ogg-Vorbis-Files als Lastentiere für Schadcode missbrauchen lassen, demonstrierte Thiel anhand seines selbstgeschriebenen Phython-Programms „Fuzzbox“. Das Tool nutzt die Metadaten der Files wie die ID3-Tags von MP3-Dateien, um die bösartigen Programmzeilen auf den Rechner des Opfers zu transportieren. Nachdem die Metadaten verändert wurden, berechnet das Tool die Prüfsummen neu, so dass die Mediaplayer die Datei als intakt akzeptieren.

Welche Mediaplayer für einen solchen Angriff anfällig sind, wollte Thiel noch nicht verraten. Er sei in Kontakt mit „namhaften Herstellern“ und wolle diesen die Chance geben, die Bugs zu bereinigen, bevor er die Liste der fehlerhaften Player publik macht. Der Experte verriet jedoch bereits, dass sich auch Speex-Dateien missbrauch lassen. Diese Files werden in der Regel zur Sprachwiedergabe verwendet und kommen beispielsweise in der Open-Source-VoIP-Telefonanlage Asterisk zum Einsatz. (Uli Ries/mja)