• IT-Karriere:
  • Services:

Mehr Sicherheit durch SE Android

SE Android erweitert die traditionelle Rechtevergabe unter Linux, nämlich die Einteilung von Rechten nach Benutzern, etwa Root mit seinen Administratorrechten sowie der normale Benutzer, der im Gegensatz zu Root keinen Zugriff auf systemnahe Dienste und Anwendungen und deren Konfigurationsdateien hat. Die traditionellen Rechte unterteilen sich in Lesen, Schreiben und Ausführen und werden jeweils einer einzelnen Datei zugewiesen. So können Dienste meist nur von Root ausgeführt, Anwendungen aber von Benutzern gestartet werden.

Stellenmarkt
  1. MEIERHOFER AG, München, Berlin, Leipzig
  2. Sanner GmbH, Bensheim bei Darmstadt

Obwohl diese Rechte - auch DAC oder Discretionatory Access Control genannt - weiterhin eine entscheidende Rolle unter Linux und Unix spielen, sind sie gewissermaßen unflexibel und teils kompliziert umzusetzen, vor allem dann, wenn Benutzer Zugriff auf systemnahe Funktionen bekommen sollen. Ein Beispiel: Damit Anwender über die Benutzeroberfläche einen Zugang zu einem neuen WLAN einrichten können, müssten sie Zugriff auf Systemdateien bekommen, die eigentlich nur vom Administrator verändert werden dürfen. Wird der Zugriff auf die entsprechenden Konfigurationsdateien unter dem traditionellen Rechtemodell für alle Benutzer freigegeben, stellt das ein gravierendes Angriffspotenzial dar, denn dann erhalten sämtliche Anwendungen ebenfalls die Rechte für die Netzwerkeinstellungen. Mit dem herkömmlichen DAC lässt sich die Rechtevergabe über Gruppen steuern, was allerdings das Einrichten eines Systems deutlich erschwert. DAC ist als Kompromiss zwischen der Benutzerverwaltung und der Systemverwaltung in modernen komplexen Linux-Systemen also eher ungeeignet.

Eingeschränkte Rechte selbst bei Root-Zugriff

Hier setzt SE Android an. Das Sicherheitsframework agiert auf Systemebene und schränkt zunächst sämtliche Rechte aller Prozesse ein. Mit Hilfe von Profilen werden bestimmten Prozessen nur bestimmte Zugriffsrechte eingeräumt, etwa der Zugriff auf Datenträger oder Netzwerkgeräte. Das Konzept nennt sich Mandatory Access Control - kurz MAC. Startet ein Dienst oder eine Anwendung einen Prozess, wird dynamisch festgelegt, welche Rechte dieser Prozess erhält.

Unabhängig von den herkömmlichen Benutzern und ihren zugewiesenen Rollen verwaltet SE Android seine eigenen, nämlich Domänen, Benutzer und Rollen. Sie werden jedem Prozess oder Dienst einzeln zugewiesen, einen allmächtigen Administrator gibt es bei SE Android nicht. SE Android stellt gewissermaßen einen Container dar, in dem Anwendungen nur in einem gewissen Kontext agieren dürfen. Selbst Anwendungen mit Root-Rechten können so eingeschränkt werden, etwa indem ihnen der Zugriff auf den Datenträger über /dev/block oder bestimmte Ordner, etwa das Benutzerverzeichnis /data, verweigert wird. Dort liegen normalerweise die Apps, die SuperSU-Rechte benötigen. So soll unter anderem verhindert werden, dass fehlerhafte oder manipulierte Apps das gesamte System kompromittieren können.

Rechte werden erzwungen statt nur vorgeschlagen

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Bisher lief SE Linux in Android im sogenannten Permissive-Modus. Die Regeln waren zwar implementiert, wurden aber nicht erzwungen. Überschreitungen wurden lediglich in den Protokolldateien festgehalten. Root-Apps konnten im System daher den Startprozess Init noch nutzen, um dort eigene Startskripte einzufügen, etwa Chainfire mit seinem angepassten install_recovery.sh. Damit wurde ein SuperSU-Daemon gestartet, der dem Benutzer Root-Rechte gewährleistete.

In Lollipop werden SE-Android-Rechte jetzt erzwungen. Das gilt auch für den Startprozess und verhindert somit, dass herkömmliche Root-Apps funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 SE Android: In Lollipop wird das Rooten schwerLollipop benötigt neuen Kernel für Root-Rechte 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 4,25€
  3. 34,49€

Thaodan 20. Nov 2014

Ist es aber nicht, was meinst weswegen MS für Android Geld bekommt.

Anonymer Nutzer 19. Nov 2014

Du übersieht dabei nur, dass es die breite Masse, überhaupt nicht interessiert, ob und...

Sirence 18. Nov 2014

Einfach Backup von den DRM Keys machen.

Trollversteher 18. Nov 2014

Woher wisst Ihr das? Bzw. was wisst Ihr denn, was in den proprietären binary-blobs...

underlines 18. Nov 2014

Chainfire ermöglicht wie bei jedem Update auch hier einfaches Root per SuperSU: https...


Folgen Sie uns
       


VLC-Gründer Jean-Baptiste Kempf im Interview

Wir haben uns mit dem Präsidenten der VideoLAN-Nonprofit-Organisation unterhalten.

VLC-Gründer Jean-Baptiste Kempf im Interview Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /