Android: Rootkits auf Kernel-Ebene möglich

In Android können Rootkits auf Hardwareebene installiert werden. Sie bleiben dabei unentdeckt und ermöglichen den Zugang zu E-Mails und SMS-Texten sowie zu integrierten Kameras, Mikrofonen und GPS-Modulen. Selbst Telefonate könnte ein Angreifer über ein gekapertes Smartphone tätigen.

9. August 2010 um 11:28 Uhr / Jörg Thoma

59 Kommentare News folgen (öffnet im neuen Fenster)

Ein sogenanntes Kernel-Rootkit könnte als Modul in die Hardwareebene des Android-Betriebssystems eingeschleust werden. Da die einzelnen Prozesse des Rootkits nicht im virtuellen Dateisystem /proc auftauchen, bleiben sie auch beim Aufruf der Befehle ps und insmod verborgen. Das Rookit verwendet stattdessen Hooks, um mit den Funktionen des Betriebssystems zu kommunizieren.

Die Programmierer Christian Papathanasiou(öffnet im neuen Fenster) und Nicholas Percoco(öffnet im neuen Fenster), Angestellte bei der Firma Trustwave Spiderlabs(öffnet im neuen Fenster), kompilierten einen neuen Kernel samt Modul, um Systemaufrufe abzufangen und die Message-Datei Dmesg auf Befehle zu analysieren. Sie konnten sich mittels einer Reverse-Shell über TCP(öffnet im neuen Fenster) mit dem Gerät verbinden.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

Senior Entwickler (m/w/d) Frontend und/oder Backend Deutsche Rentenversicherung Baden-Württemberg, Karlsruhe,Stuttgart (öffnet im neuen Fenster)

Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)

Microsoft 365 Consultant (m/w/d) – Modern Workplace & KI. Venta IT GmbH, Meppen (öffnet im neuen Fenster)

Metrology Systems Expert (m/w/d) Heraeus Quarzglas Bitterfeld GmbH & Co.KG, Bitterfeld-Wolfen (öffnet im neuen Fenster)

Senior SAP Developer / Engineer - ABAP, Cloud & AI (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

R&D Engineer (m/f/d) Software Development (Java) Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)

Cyber Security Engineer (m/w/d) KNDS Deutschland Mission Electronics GmbH, Konstanz (öffnet im neuen Fenster)

IT-Servicemanager/in (m/w/d) SAP FICO Berufsgenossenschaft Rohstoffe und chemische Industrie (BG RCI), Mainz,Bochum,Heidelberg,Langenhagen (öffnet im neuen Fenster)

Die Entwickler demonstrierten auf der diesjährigen Defcon 18(öffnet im neuen Fenster), wie Anrufe von einem modifizierten Gerät umgeleitet werden können. Zusätzlich griffen sie auf das GPS-Modul über /dev/smd27 zu.

Für die Demonstration mussten die Programmierer physisch auf das Gerät zugreifen, um das Rootkit zu platzieren. Es könnte aber auch über andere Schwachstellen eingeschleust werden. Denkbar wäre auch, dass solche Module willentlich eingebaut werden. Dem Benutzer bleibt ein solches Rootkit verborgen, lediglich ein Leistungsverlust könnte auf die Spyware hinweisen. Zudem kann sich der Anwender auch nicht gegen solche Angriffe wehren. Einzig die Hersteller könnten durch ein Signieren von Treibern ein mögliches Infiltrieren verhindern.

Zur Startseite 59 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Microsoft gibt Patch MS10-015 für 64-Bit-Systeme frei

Patch wird aus Rücksicht aufs Alureon-Rootkit nicht immer automatisch verteilt. Die Schwierigkeiten, die rund um den Patch MS10-015 auftauchten, sind nun wohl aufgeklärt. Microsoft bestätigt, dass ein Rootkit die Schuld trägt und fängt wieder an, das Update automatisch zu verteilen. 32-Bit-Systeme bleiben aber erstmal ausgeschlossen.

Relevante Themen