Abo
  • Services:

Mehr Sicherheit durch SE Android

SE Android erweitert die traditionelle Rechtevergabe unter Linux, nämlich die Einteilung von Rechten nach Benutzern, etwa Root mit seinen Administratorrechten sowie der normale Benutzer, der im Gegensatz zu Root keinen Zugriff auf systemnahe Dienste und Anwendungen und deren Konfigurationsdateien hat. Die traditionellen Rechte unterteilen sich in Lesen, Schreiben und Ausführen und werden jeweils einer einzelnen Datei zugewiesen. So können Dienste meist nur von Root ausgeführt, Anwendungen aber von Benutzern gestartet werden.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Köln, Hagen
  2. Consors Finanz, München

Obwohl diese Rechte - auch DAC oder Discretionatory Access Control genannt - weiterhin eine entscheidende Rolle unter Linux und Unix spielen, sind sie gewissermaßen unflexibel und teils kompliziert umzusetzen, vor allem dann, wenn Benutzer Zugriff auf systemnahe Funktionen bekommen sollen. Ein Beispiel: Damit Anwender über die Benutzeroberfläche einen Zugang zu einem neuen WLAN einrichten können, müssten sie Zugriff auf Systemdateien bekommen, die eigentlich nur vom Administrator verändert werden dürfen. Wird der Zugriff auf die entsprechenden Konfigurationsdateien unter dem traditionellen Rechtemodell für alle Benutzer freigegeben, stellt das ein gravierendes Angriffspotenzial dar, denn dann erhalten sämtliche Anwendungen ebenfalls die Rechte für die Netzwerkeinstellungen. Mit dem herkömmlichen DAC lässt sich die Rechtevergabe über Gruppen steuern, was allerdings das Einrichten eines Systems deutlich erschwert. DAC ist als Kompromiss zwischen der Benutzerverwaltung und der Systemverwaltung in modernen komplexen Linux-Systemen also eher ungeeignet.

Eingeschränkte Rechte selbst bei Root-Zugriff

Hier setzt SE Android an. Das Sicherheitsframework agiert auf Systemebene und schränkt zunächst sämtliche Rechte aller Prozesse ein. Mit Hilfe von Profilen werden bestimmten Prozessen nur bestimmte Zugriffsrechte eingeräumt, etwa der Zugriff auf Datenträger oder Netzwerkgeräte. Das Konzept nennt sich Mandatory Access Control - kurz MAC. Startet ein Dienst oder eine Anwendung einen Prozess, wird dynamisch festgelegt, welche Rechte dieser Prozess erhält.

Unabhängig von den herkömmlichen Benutzern und ihren zugewiesenen Rollen verwaltet SE Android seine eigenen, nämlich Domänen, Benutzer und Rollen. Sie werden jedem Prozess oder Dienst einzeln zugewiesen, einen allmächtigen Administrator gibt es bei SE Android nicht. SE Android stellt gewissermaßen einen Container dar, in dem Anwendungen nur in einem gewissen Kontext agieren dürfen. Selbst Anwendungen mit Root-Rechten können so eingeschränkt werden, etwa indem ihnen der Zugriff auf den Datenträger über /dev/block oder bestimmte Ordner, etwa das Benutzerverzeichnis /data, verweigert wird. Dort liegen normalerweise die Apps, die SuperSU-Rechte benötigen. So soll unter anderem verhindert werden, dass fehlerhafte oder manipulierte Apps das gesamte System kompromittieren können.

Rechte werden erzwungen statt nur vorgeschlagen

Bisher lief SE Linux in Android im sogenannten Permissive-Modus. Die Regeln waren zwar implementiert, wurden aber nicht erzwungen. Überschreitungen wurden lediglich in den Protokolldateien festgehalten. Root-Apps konnten im System daher den Startprozess Init noch nutzen, um dort eigene Startskripte einzufügen, etwa Chainfire mit seinem angepassten install_recovery.sh. Damit wurde ein SuperSU-Daemon gestartet, der dem Benutzer Root-Rechte gewährleistete.

In Lollipop werden SE-Android-Rechte jetzt erzwungen. Das gilt auch für den Startprozess und verhindert somit, dass herkömmliche Root-Apps funktionieren.

 SE Android: In Lollipop wird das Rooten schwerLollipop benötigt neuen Kernel für Root-Rechte 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 39,99€ statt 59,99€

Thaodan 20. Nov 2014

Ist es aber nicht, was meinst weswegen MS für Android Geld bekommt.

Anonymer Nutzer 19. Nov 2014

Du übersieht dabei nur, dass es die breite Masse, überhaupt nicht interessiert, ob und...

Sirence 18. Nov 2014

Einfach Backup von den DRM Keys machen.

Trollversteher 18. Nov 2014

Woher wisst Ihr das? Bzw. was wisst Ihr denn, was in den proprietären binary-blobs...

underlines 18. Nov 2014

Chainfire ermöglicht wie bei jedem Update auch hier einfaches Root per SuperSU: https...


Folgen Sie uns
       


Hasselblad X1D und Fujifilm GFX 50S - Test

Im analogen Zeitalter waren Mittelformatkameras meist recht klobige Geräte, die vor allem Profis Vorteile boten. Einige davon sind im Zeitalter der Digitalfotografie obsolet. In Sachen Bildqualität sind Mittelformatkameras aber immer noch ganz weit vorn, wie wir beim Test der Fujifilm GFX 50S und Hasselblad X1D herausgefunden haben.

Hasselblad X1D und Fujifilm GFX 50S - Test Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Samsung Flip im Test: Brainstorming mit Essstäbchen und nebenbei Powerpoint
Samsung Flip im Test
Brainstorming mit Essstäbchen und nebenbei Powerpoint

Ob mit dem Finger, dem Holzstift oder Essstäbchen: Vor dem Smartboard Samsung Flip sammeln sich in unserem Test schnell viele Mitarbeiter und schreiben darauf. Nebenbei läuft Microsoft Office auf einem drahtlos verbundenen Notebook. Manche Vorteile gehen jedoch auf Kosten der Bedienbarkeit.
Ein Test von Oliver Nickel

  1. Indien Samsung eröffnet weltgrößte Smartphone-Fabrik
  2. Foundry Samsung aktualisiert Node-Roadmap bis 3 nm
  3. Bug Samsungs Messenger-App verschickt ungewollt Fotos

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /