Abo
  • Services:
Anzeige
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert.
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert. (Bild: Werner Pluta/Golem.de)

Linux-Kernel: Android O filtert Apps großzügig mit Seccomp

Aufrufe von Android-Apps werden künftig per Seccomp gefiltert.
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert. (Bild: Werner Pluta/Golem.de)

Mit dem kommenden Android O sollen alle Systemaufrufe von Apps mit Seccomp gefiltert werden, um mögliche Angriffe zu verhindern. Noch sind diese Filter allerdings recht großzügig ausgelegt, wie eine erste Erklärung dazu zeigt.

Wie bereits im Frühjahr angekündigt, wird das kommende Android O einen Seccomp-Filter auf alle Apps anwenden. Mit der Seccomp-Technik des Linux-Kernel können Systemaufrufe von Anwendungen gefiltert und verhindert werden, um die Sicherheit zu erhöhen. Der dafür zuständige Paul Lawrence beschreibt die Änderungen dazu im Android-Entwickler-Blog.

Anzeige

Demnach nutzt Android O nur einen einzigen Filter, der in dem Zygote-Prozess angesiedelt ist. Zygote dient als Mutterprozess für alle App-Prozesse, wodurch der Seccomp-Filter eben auch sehr leicht auf alle Apps angewendet werden kann. Laut Lawrence hat das Team beim Aufbau des Filters zudem sehr viel Wert darauf gelegt, bestehende Apps nicht kaputt zu machen.

Nur wenige Ausschlüsse

Zur Verwendung erlaubt sind per Seccomp sämtliche Systemaufrufe, die über die C-Bibliothek Bionic verfügbar sind. Zugriff gibt es ebenso auf alle Systemaufrufe, die zum Booten von Android notwendig sind, sowie auf Systemaufrufe, die von besonders beliebten Android-Apps genutzt werden. Letzteres ermittelt Google über die App Compatibility Suite.

Explizit verboten wird der Zugriff etwa auf Swapon/Swapoff, Aufrufe zur Schlüsselverwaltung im Kernel sowie einige wenige weitere, die laut Google nicht von Apps benötigt werden. Für 64-Bit-ARM-Geräte betreffe dies 17 der 271 verfügbaren Aufrufe, für 32-Bit-ARM 70 der 364 verfügbaren Aufrufe. Besonders weitreichend scheinen die Filter damit derzeit noch nicht zu sein.

Der Grund dafür ist vermutlich, dass Google mit strikteren Filterregeln einfach zu viele Apps beeinträchtigen würde. Immerhin stürzen die Apps ab, wenn ihnen ein Aufruf per Seccomp verwehrt wird. Darüber hinaus ist die App-Vielfalt wohl auch einfach zu groß, um die Aufrufe weiter einschränken oder die Filter gar für einzelne Apps zwingend umsetzen zu können.

Google setzt allerdings auch schon seit längerem für die Android-Systembibliotheken relativ ausgefeilte Seccomp-Filter ein, um die Angriffsfläche zu minimieren.


eye home zur Startseite
Deff-Zero 24. Jul 2017

Du erwartest, dass Entwickler die Rückgabewerte der Syscalls auswerten? Die...

SvenMeyer 24. Jul 2017

Kann man heute schon mit XPrivacy machen. Ist zwar etwas zeitaufwändig aufzusetzen und zu...



Anzeige

Stellenmarkt
  1. Computacenter AG & Co. oHG, verschiedene Standorte
  2. Vodafone GmbH, Düsseldorf
  3. operational services GmbH & Co. KG, München
  4. KfW Bankengruppe, Frankfurt am Main


Anzeige
Spiele-Angebote
  1. (-76%) 6,66€
  2. 319,00€
  3. (-10%) 53,99€

Folgen Sie uns
       


  1. Onlinehandel

    Bald keine Birkenstock-Produkte mehr bei Amazon

  2. Zeitpunkt verschoben

    Musk reduziert Erwartungen an autonomes Fahren

  3. MacOS High Sierra

    Grafikleistung beim Macbook Pro bricht durch Bug ein

  4. Elektromobilität

    VW-Chef will Diesel-Steuervorteile für E-Autos streichen

  5. Alexa und Co.

    Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern

  6. Apple TV

    Deutsche TV-App startet mit nur fünf Anbietern

  7. King's Field 1 (1994)

    Die Saat für Dark Souls

  8. Anheuser Busch

    US-Brauerei bestellt 40 Tesla-Trucks vor

  9. Apple

    Jony Ive übernimmt wieder Apples Produktdesign

  10. Elon Musk

    Tesla will eigene KI-Chips bauen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung
Berlin
Verfassungsschutz hat Lizenz zur Gesichtserkennung
  1. Finnairs Gesichtsscanner ausprobiert Boarden mit einem Blick in die Kamera

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. So ein Käse!

    AllDayPiano | 08:39

  2. Re: Steuervorteil?

    bombinho | 08:38

  3. Re: "Ausbau der Elektromobilität"

    RaZZE | 08:37

  4. Re: Musk hat recht.

    t_e_e_k | 08:36

  5. Re: So einen Reaktor hätte ich gerne in meinem keller

    Der Held vom... | 08:35


  1. 08:37

  2. 07:58

  3. 07:33

  4. 07:21

  5. 10:59

  6. 09:41

  7. 08:00

  8. 15:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel