Abo
  • Services:
Anzeige
Die Android-Diversität ist ein großes Sicherheitsproblem.
Die Android-Diversität ist ein großes Sicherheitsproblem. (Bild: Samthor/Flickr.com/CC-BY-SA 2.0)

Exploits: Treiber der Android-Hersteller verursachen Kernel-Lücken

Die Android-Diversität ist ein großes Sicherheitsproblem.
Die Android-Diversität ist ein großes Sicherheitsproblem. (Bild: Samthor/Flickr.com/CC-BY-SA 2.0)

Die Zahl der Angriffe auf den Linux-Kernel in Android wächst sehr stark. Der mit Abstand größte Teil der bekannten Sicherheitslücken findet sich dabei in den Gerätetreibern der Hersteller, die mit der Kernel-Pflege offenbar überfordert sind.

In einer Auswertung zu den bekannten Sicherheitslücken der vergangenen zwei Jahre in Android zeigt der Google-Angestellte Jeff Vander Stoep auf, dass der Anteil an Fehlern im Linux-Kernel im Vergleich zum Userspace massiv angestiegen ist. Während laut der Präsentation auf dem Linux Security Summit im Jahr 2014 nur rund 4 Prozent aller Android-Lücken dem Kernel zugeordnet wurden, sind dies im laufenden Jahr 2016 bereits 39 Prozent. Die große Mehrheit der Lücken im Kernel selbst stammt wiederum aus den Treibern der Gerätehersteller.

Anzeige

Vander Stoep erklärt diesen Trend unter anderem damit, dass der Android-Userspace in den vergangenen Jahren durch verschiedene Techniken immer stärker abgesichert worden sei. So werde inzwischen auf der Mehrheit der Android-Geräte etwa Selinux genutzt, um die Einhaltung globaler Sicherheitsrichtlinien zu erzwingen. Darüber hinaus seien die Bountys für Kernel-Bugs vergleichsweise hoch.

Mehrheit der Kernel-Bugs in Gerätetreibern

Die Statistik deutet allerdings auf ein weiteres Problem hin, das offenbar immer größere Ausmaße annimmt. Denn Vander Stoep zufolge seien 85 Prozent der Kernel-Bugs auf Fehler in den Gerätetreibern der Hersteller zurückzuführen. Diese sind jedoch bis auf wenige Ausnahmen nicht im Hauptentwicklungszweig des Linux-Kernels eingepflegt, sondern werden Out-of-Tree entwickelt und sind oft sogar proprietär. Vor allem Fehler in den Grafik- und WLAN-Treibern könnten aber einfach durch Apps ausgenutzt werden, da diese Zugriff auf die Hardware bekommen.

Der Sony-Angestellte Tim Bird hatte bereits im vergangenen Jahr darauf hingewiesen, dass wegen des Out-of-Tree-Codes wieder und wieder die gleichen Patches in die Entwicklungszweige einzelner Geräte eingepflegt werden müssten. Das binde aber viele Ressourcen und verursache damit für die Unternehmen hohe Kosten. Wohl auch deshalb erhalten viele Android-Geräte kaum oder gar keine Updates und bleiben für viele Angriffe verwundbar.

Die Lösung von Google für dieses Problem unterscheidet sich dabei deutlich von dem Vorschlag Birds, der für eine stärkere Öffnung der Hersteller sowie eine engere Arbeit mit der Linux-Community eingetreten ist. Wohl um die Probleme mittelfristig zumindest eindämmen zu können, arbeitet Google mittlerweile an Schutzmechanismen im Kernel selbst, die das Ausnutzen von Fehlern erschweren sollen. Dazu gehört unter anderem das Kernel Self Protection Project, das langsam Fortschritte macht, sowie die Einschränkung der sogenannten Capabilites oder die Nutzung von Seccomp-Filtern im Kernel.


eye home zur Startseite
cpt.dirk 02. Sep 2016

Es darf aber meiner Ansicht nach bei so wichtigen Themen wie der Integrität unserer IT...

BLi8819 31. Aug 2016

Man müsste mal Google befragen. Oder besser einen Juristen. Vielleicht ist Golem.de auch...

deadeye 31. Aug 2016

...und man kann seinen schlechten Code auch noch verstecken. Das ist doch toll.

RichardEb 30. Aug 2016

Zumal das alles Theorie ist. Wer ist schon bereit wegen so etwas einen Anwalt zu...

IchBIN 30. Aug 2016

Da könntest Du Dich irren. Und erst recht noch dann, wenn Du auch den Mobilfunkanbietern...



Anzeige

Stellenmarkt
  1. Landeshauptstadt Wiesbaden, Wiesbaden
  2. UCM AG, Rheineck (Schweiz)
  3. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  4. TenneT TSO GmbH, Bayreuth


Anzeige
Top-Angebote
  1. 77,90€ (Bestpreis!)
  2. 72,90€ (Preisvergleich ab 107€)
  3. 1,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blizzard

    Starcraft Remastered erscheint im Sommer 2017

  2. Atom-Unfall

    WD erweitert Support für NAS mit Intels fehlerhaftem Atom

  3. SecurityWatchScam ID

    T-Mobile blockiert Spam-Anrufe

  4. AT&T

    USA bauen Millionen Glasfaserverbindungen

  5. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  6. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  7. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  8. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  9. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  10. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

  1. Re: Geiler shit!

    CSCmdr | 20:36

  2. Re: Definitiv nichts mehr von Samsung kaufen!

    plutoniumsulfat | 20:35

  3. Re: Es werden keine Rundfunkfrequenzen belegt...

    jhp | 20:34

  4. Re: Eigentlich doch genial

    Prinzeumel | 20:34

  5. Re: Denkt er er hätte eine Sonderposition?

    NaruHina | 20:32


  1. 19:03

  2. 14:32

  3. 14:16

  4. 13:00

  5. 15:20

  6. 14:13

  7. 12:52

  8. 12:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel