Abo
  • Services:
Anzeige
Die Android-Diversität ist ein großes Sicherheitsproblem.
Die Android-Diversität ist ein großes Sicherheitsproblem. (Bild: Samthor/Flickr.com/CC-BY-SA 2.0)

Exploits: Treiber der Android-Hersteller verursachen Kernel-Lücken

Die Android-Diversität ist ein großes Sicherheitsproblem.
Die Android-Diversität ist ein großes Sicherheitsproblem. (Bild: Samthor/Flickr.com/CC-BY-SA 2.0)

Die Zahl der Angriffe auf den Linux-Kernel in Android wächst sehr stark. Der mit Abstand größte Teil der bekannten Sicherheitslücken findet sich dabei in den Gerätetreibern der Hersteller, die mit der Kernel-Pflege offenbar überfordert sind.

In einer Auswertung zu den bekannten Sicherheitslücken der vergangenen zwei Jahre in Android zeigt der Google-Angestellte Jeff Vander Stoep auf, dass der Anteil an Fehlern im Linux-Kernel im Vergleich zum Userspace massiv angestiegen ist. Während laut der Präsentation auf dem Linux Security Summit im Jahr 2014 nur rund 4 Prozent aller Android-Lücken dem Kernel zugeordnet wurden, sind dies im laufenden Jahr 2016 bereits 39 Prozent. Die große Mehrheit der Lücken im Kernel selbst stammt wiederum aus den Treibern der Gerätehersteller.

Anzeige

Vander Stoep erklärt diesen Trend unter anderem damit, dass der Android-Userspace in den vergangenen Jahren durch verschiedene Techniken immer stärker abgesichert worden sei. So werde inzwischen auf der Mehrheit der Android-Geräte etwa Selinux genutzt, um die Einhaltung globaler Sicherheitsrichtlinien zu erzwingen. Darüber hinaus seien die Bountys für Kernel-Bugs vergleichsweise hoch.

Mehrheit der Kernel-Bugs in Gerätetreibern

Die Statistik deutet allerdings auf ein weiteres Problem hin, das offenbar immer größere Ausmaße annimmt. Denn Vander Stoep zufolge seien 85 Prozent der Kernel-Bugs auf Fehler in den Gerätetreibern der Hersteller zurückzuführen. Diese sind jedoch bis auf wenige Ausnahmen nicht im Hauptentwicklungszweig des Linux-Kernels eingepflegt, sondern werden Out-of-Tree entwickelt und sind oft sogar proprietär. Vor allem Fehler in den Grafik- und WLAN-Treibern könnten aber einfach durch Apps ausgenutzt werden, da diese Zugriff auf die Hardware bekommen.

Der Sony-Angestellte Tim Bird hatte bereits im vergangenen Jahr darauf hingewiesen, dass wegen des Out-of-Tree-Codes wieder und wieder die gleichen Patches in die Entwicklungszweige einzelner Geräte eingepflegt werden müssten. Das binde aber viele Ressourcen und verursache damit für die Unternehmen hohe Kosten. Wohl auch deshalb erhalten viele Android-Geräte kaum oder gar keine Updates und bleiben für viele Angriffe verwundbar.

Die Lösung von Google für dieses Problem unterscheidet sich dabei deutlich von dem Vorschlag Birds, der für eine stärkere Öffnung der Hersteller sowie eine engere Arbeit mit der Linux-Community eingetreten ist. Wohl um die Probleme mittelfristig zumindest eindämmen zu können, arbeitet Google mittlerweile an Schutzmechanismen im Kernel selbst, die das Ausnutzen von Fehlern erschweren sollen. Dazu gehört unter anderem das Kernel Self Protection Project, das langsam Fortschritte macht, sowie die Einschränkung der sogenannten Capabilites oder die Nutzung von Seccomp-Filtern im Kernel.


eye home zur Startseite
cpt.dirk 02. Sep 2016

Es darf aber meiner Ansicht nach bei so wichtigen Themen wie der Integrität unserer IT...

BLi8819 31. Aug 2016

Man müsste mal Google befragen. Oder besser einen Juristen. Vielleicht ist Golem.de auch...

deadeye 31. Aug 2016

...und man kann seinen schlechten Code auch noch verstecken. Das ist doch toll.

RichardEb 30. Aug 2016

Zumal das alles Theorie ist. Wer ist schon bereit wegen so etwas einen Anwalt zu...

IchBIN 30. Aug 2016

Da könntest Du Dich irren. Und erst recht noch dann, wenn Du auch den Mobilfunkanbietern...



Anzeige

Stellenmarkt
  1. Daimler AG, Germersheim
  2. Bayerische Versorgungskammer, München
  3. Polizeipräsidium Oberbayern Süd, Rosenheim, Traunstein
  4. Vodafone Kabel Deutschland GmbH, Unterföhring


Anzeige
Hardware-Angebote
  1. und Gratis-Produkt erhalten
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Fake News

    Eheran | 06:37

  2. Re: Adobe - Die Fabrik der Sicherheitslücken

    DetlevCM | 06:33

  3. Re: Golem.de emails in den BND Leaks

    Eheran | 06:29

  4. Re: Intel...

    LeCaNo | 06:27

  5. Re: "Wer unbedingt LTE nutzen möchte"

    eXXogene | 06:04


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel