Abo
  • Services:
Anzeige
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert.
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert. (Bild: Werner Pluta/Golem.de)

Linux-Kernel: Android O filtert Apps großzügig mit Seccomp

Aufrufe von Android-Apps werden künftig per Seccomp gefiltert.
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert. (Bild: Werner Pluta/Golem.de)

Mit dem kommenden Android O sollen alle Systemaufrufe von Apps mit Seccomp gefiltert werden, um mögliche Angriffe zu verhindern. Noch sind diese Filter allerdings recht großzügig ausgelegt, wie eine erste Erklärung dazu zeigt.

Wie bereits im Frühjahr angekündigt, wird das kommende Android O einen Seccomp-Filter auf alle Apps anwenden. Mit der Seccomp-Technik des Linux-Kernel können Systemaufrufe von Anwendungen gefiltert und verhindert werden, um die Sicherheit zu erhöhen. Der dafür zuständige Paul Lawrence beschreibt die Änderungen dazu im Android-Entwickler-Blog.

Anzeige

Demnach nutzt Android O nur einen einzigen Filter, der in dem Zygote-Prozess angesiedelt ist. Zygote dient als Mutterprozess für alle App-Prozesse, wodurch der Seccomp-Filter eben auch sehr leicht auf alle Apps angewendet werden kann. Laut Lawrence hat das Team beim Aufbau des Filters zudem sehr viel Wert darauf gelegt, bestehende Apps nicht kaputt zu machen.

Nur wenige Ausschlüsse

Zur Verwendung erlaubt sind per Seccomp sämtliche Systemaufrufe, die über die C-Bibliothek Bionic verfügbar sind. Zugriff gibt es ebenso auf alle Systemaufrufe, die zum Booten von Android notwendig sind, sowie auf Systemaufrufe, die von besonders beliebten Android-Apps genutzt werden. Letzteres ermittelt Google über die App Compatibility Suite.

Explizit verboten wird der Zugriff etwa auf Swapon/Swapoff, Aufrufe zur Schlüsselverwaltung im Kernel sowie einige wenige weitere, die laut Google nicht von Apps benötigt werden. Für 64-Bit-ARM-Geräte betreffe dies 17 der 271 verfügbaren Aufrufe, für 32-Bit-ARM 70 der 364 verfügbaren Aufrufe. Besonders weitreichend scheinen die Filter damit derzeit noch nicht zu sein.

Der Grund dafür ist vermutlich, dass Google mit strikteren Filterregeln einfach zu viele Apps beeinträchtigen würde. Immerhin stürzen die Apps ab, wenn ihnen ein Aufruf per Seccomp verwehrt wird. Darüber hinaus ist die App-Vielfalt wohl auch einfach zu groß, um die Aufrufe weiter einschränken oder die Filter gar für einzelne Apps zwingend umsetzen zu können.

Google setzt allerdings auch schon seit längerem für die Android-Systembibliotheken relativ ausgefeilte Seccomp-Filter ein, um die Angriffsfläche zu minimieren.


eye home zur Startseite
Deff-Zero 24. Jul 2017

Du erwartest, dass Entwickler die Rückgabewerte der Syscalls auswerten? Die...

SvenMeyer 24. Jul 2017

Kann man heute schon mit XPrivacy machen. Ist zwar etwas zeitaufwändig aufzusetzen und zu...



Anzeige

Stellenmarkt
  1. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, München
  2. PBM Personal Business Machine AG, Köln
  3. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  4. SCHMIDT Technology GmbH, St. Georgen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)
  2. 12,99€

Folgen Sie uns
       


  1. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  2. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  3. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  4. Wochenrückblick

    Früher war nicht alles besser

  5. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  6. Cloud

    AWS bringt den Appstore für Serverless-Software

  7. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  8. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  9. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  10. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Re: Noch nie einen Fahrer gehabt der eine Karte...

    Dwalinn | 14:51

  2. Re: Habe noch nie verstanden...

    Teebecher | 14:49

  3. Re: Wieso nicht als SSD-HDD?

    Eheran | 14:46

  4. Re: Egal ob 1 oder 10gbit die Datenmenge bleibt...

    manu26 | 14:42

  5. Re: Die Forderungen der Auto-Lobby sind so absurd...

    thinksimple | 14:30


  1. 11:53

  2. 11:26

  3. 11:14

  4. 09:02

  5. 17:17

  6. 16:50

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel