Mehr Sicherheit durch SE Android

SE Android erweitert die traditionelle Rechtevergabe unter Linux, nämlich die Einteilung von Rechten nach Benutzern, etwa Root mit seinen Administratorrechten sowie der normale Benutzer, der im Gegensatz zu Root keinen Zugriff auf systemnahe Dienste und Anwendungen und deren Konfigurationsdateien hat. Die traditionellen Rechte unterteilen sich in Lesen, Schreiben und Ausführen und werden jeweils einer einzelnen Datei zugewiesen. So können Dienste meist nur von Root ausgeführt, Anwendungen aber von Benutzern gestartet werden.

Obwohl diese Rechte - auch DAC oder Discretionatory Access Control genannt - weiterhin eine entscheidende Rolle unter Linux und Unix spielen, sind sie gewissermaßen unflexibel und teils kompliziert umzusetzen, vor allem dann, wenn Benutzer Zugriff auf systemnahe Funktionen bekommen sollen. Ein Beispiel: Damit Anwender über die Benutzeroberfläche einen Zugang zu einem neuen WLAN einrichten können, müssten sie Zugriff auf Systemdateien bekommen, die eigentlich nur vom Administrator verändert werden dürfen. Wird der Zugriff auf die entsprechenden Konfigurationsdateien unter dem traditionellen Rechtemodell für alle Benutzer freigegeben, stellt das ein gravierendes Angriffspotenzial dar, denn dann erhalten sämtliche Anwendungen ebenfalls die Rechte für die Netzwerkeinstellungen. Mit dem herkömmlichen DAC lässt sich die Rechtevergabe über Gruppen steuern, was allerdings das Einrichten eines Systems deutlich erschwert. DAC ist als Kompromiss zwischen der Benutzerverwaltung und der Systemverwaltung in modernen komplexen Linux-Systemen also eher ungeeignet.

Eingeschränkte Rechte selbst bei Root-Zugriff

Hier setzt SE Android an. Das Sicherheitsframework agiert auf Systemebene und schränkt zunächst sämtliche Rechte aller Prozesse ein. Mit Hilfe von Profilen werden bestimmten Prozessen nur bestimmte Zugriffsrechte eingeräumt, etwa der Zugriff auf Datenträger oder Netzwerkgeräte. Das Konzept nennt sich Mandatory Access Control - kurz MAC. Startet ein Dienst oder eine Anwendung einen Prozess, wird dynamisch festgelegt, welche Rechte dieser Prozess erhält.

Unabhängig von den herkömmlichen Benutzern und ihren zugewiesenen Rollen verwaltet SE Android seine eigenen, nämlich Domänen, Benutzer und Rollen. Sie werden jedem Prozess oder Dienst einzeln zugewiesen, einen allmächtigen Administrator gibt es bei SE Android nicht. SE Android stellt gewissermaßen einen Container dar, in dem Anwendungen nur in einem gewissen Kontext agieren dürfen. Selbst Anwendungen mit Root-Rechten können so eingeschränkt werden, etwa indem ihnen der Zugriff auf den Datenträger über /dev/block oder bestimmte Ordner, etwa das Benutzerverzeichnis /data, verweigert wird. Dort liegen normalerweise die Apps, die SuperSU-Rechte benötigen. So soll unter anderem verhindert werden, dass fehlerhafte oder manipulierte Apps das gesamte System kompromittieren können.

Rechte werden erzwungen statt nur vorgeschlagen

Bisher lief SE Linux in Android im sogenannten Permissive-Modus. Die Regeln waren zwar implementiert, wurden aber nicht erzwungen. Überschreitungen wurden lediglich in den Protokolldateien festgehalten. Root-Apps konnten im System daher den Startprozess Init noch nutzen, um dort eigene Startskripte einzufügen, etwa Chainfire mit seinem angepassten install_recovery.sh. Damit wurde ein SuperSU-Daemon gestartet, der dem Benutzer Root-Rechte gewährleistete.

In Lollipop werden SE-Android-Rechte jetzt erzwungen. Das gilt auch für den Startprozess und verhindert somit, dass herkömmliche Root-Apps funktionieren.