Mehr Sicherheit durch SE Android

SE Android erweitert die traditionelle Rechtevergabe unter Linux, nämlich die Einteilung von Rechten nach Benutzern, etwa Root mit seinen Administratorrechten sowie der normale Benutzer, der im Gegensatz zu Root keinen Zugriff auf systemnahe Dienste und Anwendungen und deren Konfigurationsdateien hat. Die traditionellen Rechte unterteilen sich in Lesen, Schreiben und Ausführen und werden jeweils einer einzelnen Datei zugewiesen. So können Dienste meist nur von Root ausgeführt, Anwendungen aber von Benutzern gestartet werden.

Stellenmarkt
  1. Scrum Master (m/w/d)
    byteAgenten gmbh, Nürnberg
  2. Anwendungs- und Systemadministrator_in
    Hochschule für Technik und Wirtschaft Berlin, Berlin
Detailsuche

Obwohl diese Rechte - auch DAC oder Discretionatory Access Control genannt - weiterhin eine entscheidende Rolle unter Linux und Unix spielen, sind sie gewissermaßen unflexibel und teils kompliziert umzusetzen, vor allem dann, wenn Benutzer Zugriff auf systemnahe Funktionen bekommen sollen. Ein Beispiel: Damit Anwender über die Benutzeroberfläche einen Zugang zu einem neuen WLAN einrichten können, müssten sie Zugriff auf Systemdateien bekommen, die eigentlich nur vom Administrator verändert werden dürfen. Wird der Zugriff auf die entsprechenden Konfigurationsdateien unter dem traditionellen Rechtemodell für alle Benutzer freigegeben, stellt das ein gravierendes Angriffspotenzial dar, denn dann erhalten sämtliche Anwendungen ebenfalls die Rechte für die Netzwerkeinstellungen. Mit dem herkömmlichen DAC lässt sich die Rechtevergabe über Gruppen steuern, was allerdings das Einrichten eines Systems deutlich erschwert. DAC ist als Kompromiss zwischen der Benutzerverwaltung und der Systemverwaltung in modernen komplexen Linux-Systemen also eher ungeeignet.

Eingeschränkte Rechte selbst bei Root-Zugriff

Hier setzt SE Android an. Das Sicherheitsframework agiert auf Systemebene und schränkt zunächst sämtliche Rechte aller Prozesse ein. Mit Hilfe von Profilen werden bestimmten Prozessen nur bestimmte Zugriffsrechte eingeräumt, etwa der Zugriff auf Datenträger oder Netzwerkgeräte. Das Konzept nennt sich Mandatory Access Control - kurz MAC. Startet ein Dienst oder eine Anwendung einen Prozess, wird dynamisch festgelegt, welche Rechte dieser Prozess erhält.

Unabhängig von den herkömmlichen Benutzern und ihren zugewiesenen Rollen verwaltet SE Android seine eigenen, nämlich Domänen, Benutzer und Rollen. Sie werden jedem Prozess oder Dienst einzeln zugewiesen, einen allmächtigen Administrator gibt es bei SE Android nicht. SE Android stellt gewissermaßen einen Container dar, in dem Anwendungen nur in einem gewissen Kontext agieren dürfen. Selbst Anwendungen mit Root-Rechten können so eingeschränkt werden, etwa indem ihnen der Zugriff auf den Datenträger über /dev/block oder bestimmte Ordner, etwa das Benutzerverzeichnis /data, verweigert wird. Dort liegen normalerweise die Apps, die SuperSU-Rechte benötigen. So soll unter anderem verhindert werden, dass fehlerhafte oder manipulierte Apps das gesamte System kompromittieren können.

Rechte werden erzwungen statt nur vorgeschlagen

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    27.-29.09.2022, virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.-28.09.2022, Virtuell
Weitere IT-Trainings

Bisher lief SE Linux in Android im sogenannten Permissive-Modus. Die Regeln waren zwar implementiert, wurden aber nicht erzwungen. Überschreitungen wurden lediglich in den Protokolldateien festgehalten. Root-Apps konnten im System daher den Startprozess Init noch nutzen, um dort eigene Startskripte einzufügen, etwa Chainfire mit seinem angepassten install_recovery.sh. Damit wurde ein SuperSU-Daemon gestartet, der dem Benutzer Root-Rechte gewährleistete.

In Lollipop werden SE-Android-Rechte jetzt erzwungen. Das gilt auch für den Startprozess und verhindert somit, dass herkömmliche Root-Apps funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 SE Android: In Lollipop wird das Rooten schwerLollipop benötigt neuen Kernel für Root-Rechte 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Thaodan 20. Nov 2014

Ist es aber nicht, was meinst weswegen MS für Android Geld bekommt.

Anonymer Nutzer 19. Nov 2014

Du übersieht dabei nur, dass es die breite Masse, überhaupt nicht interessiert, ob und...

Sirence 18. Nov 2014

Einfach Backup von den DRM Keys machen.

Trollversteher 18. Nov 2014

Woher wisst Ihr das? Bzw. was wisst Ihr denn, was in den proprietären binary-blobs...



Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. FTTC: Nachfrage für Vectoring der Telekom steigt um 60 Prozent
    FTTC
    Nachfrage für Vectoring der Telekom steigt um 60 Prozent

    Die Telekom sieht sich mit dem kupferbasierten Anschluss erfolgreich. Im Jahresvergleich hat sich der Kundenbestand um 1,3 Millionen auf 5,4 Millionen erhöht.

  2. Sensorfehler: Spinne legt Rendsburger Schwebefähre lahm
    Sensorfehler
    Spinne legt Rendsburger Schwebefähre lahm

    Ein Krabbeltier hat ein wichtiges Verkehrsmittel zur Überquerung des Nord-Ostsee-Kanals gestoppt - indem es ein Netz über einem Sensor gesponnen hat.

  3. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • eBay Re-Store -50% • AVM Fritz-Box günstig wie nie • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /