Offener Socket gefährdet das Android-Sicherheitsmodell

Originalartikel von Veo Zhang, Mobile Threats Analyst

Die Sicherheit der Android-Plattform stützt sich auf die eigene Sandbox und den Berechtigungsschutz, der jede App isoliert und die Kommunikation der Prozesse untereinander einschränkt. Doch ist die Plattform offen, um andere quelloffene Projekte wie Linux und OpenSSL mit einschließen zu können, und daher kann sie viele Funktionen aber auch Schwachstellen erben. Als Folge kann der Schutz der Sandbox auch nicht jeden Aspekt des Systems abdecken, sodass Android für Bedrohungen offen steht.

Offene Ports stellen eine mögliche Quelle für Schwachstellen dar. Kürzlich fanden die Bedrohungsforscher von Trend Micro eine neue Sicherheitslücke in der App einer chinesischen Site, Meituan, die dieses Problem verdeutlicht.

Anfang dieses Jahres war Heartbleed ein weiteres Negativbeispiel dafür, wie Apps mit ihrer eigenen angreifbaren OpenSSL-Bibliothek ein Risiko darstellen für den Abfluss lokaler Hauptspeicherinformationen.

Linux ist eine weitere mögliche Quelle für Sicherheitslücken. Android beruht auf einem Linux-Kernel und nutzt noch viele native Linux-APIs, sodass die Sicherheitslücken im Betriebssystem auch Android betreffen können. Beispielsweise wurde CVE-2014-3153 von Root Exploit Tools wie TowelRoot missbraucht. Ein weiteres Beispiel ist CVE-2014-0196.

Zudem bringen die Netzwerkprotokoll-Implementierungen in Linux Sicherheitsherausforderungen mit sich. Zu den Sicherheitslücken, die in diesem Jahr im Linux TCP/IP-Stack gefunden wurden, gehört CVE-2014-0100. CVE-2014-2523 betraf auch Android. Das Risiko infolge dieser Sicherheitslücken für die Nutzer besteht darin, dass Angreifer darüber deren Geräte aus der Ferne missbrauchen können.

Android-Systeme, die diese Netzwerkprotokolle auf nicht sichere Art einsetzen, können ebenfalls Sicherheitslücken aufweisen. CVE-2011-3918 war eine Schwachstelle im zygote-Prozess, über die ein Angreifer mithilfe einer bösartigen App einen lokalen Denial of Service starten konnte. Die Ursache lag darin begründet, dass der Entwickler das Socket-Protokoll nutzte, ohne die richtigen Berechtigungen zu setzen. Ähnliche Sicherheitslücken sind CVE-2011-1823, CVE-2013-4777 und CVE-2013-5933. Entwickler müssen sich über die Sicherheitsrisiken im Klaren sein, wenn sie diese Protokolle verwenden.

Von Anwendern installierte Apps können dieses Risiko noch erhöhen.

Bild 1. Apps mit offenen Ports

Der Screenshot zeigt, wie manche Apps an einem offenen TCP-Port horchen, und das bedeutet, dass das Gerät Online den Gefahren ausgesetzt ist, ohne den Schutz einer Firewall. Auch bekannte Anwendungen haben ihren Anteil an netzwerkbezogenen Sicherheitslücken. Es wäre besser, eine Art Firewall zu haben, um Android-Nutzer zu schützen, doch ist dies nicht Teil des mobilen Betriebssystems.

Trend Micros Bedrohungsforscher fanden eine Sicherheitslücke in der Android App von Meituan (in älteren Versionen als 4.6.0), einer chinesischen Site, ähnlich der Groupon-Site. Diese angreifbaren Versionen horchen am TCP-Port 9517, über die die App Nachrichten von einem Server erhalten kann. Der Absender wird nicht authentifiziert, sodass jede Maschine im Internet einen Befehl ans Telefon absetzen kann. Das Bild zeigt den dafür verantwortlichen Code:

Bild 2. Angreifbarer App-Code

Der Code parst die erhaltenen TCP-Daten in einem bestimmten Format und sendet dann android.intent.action.VIEW mit dem “intent” in den erhaltenen Daten. Über diese Sicherheitslücke kann ein Angreifer über das Telefon eine Vielzahl an Nachrichten an eine betrügerische Nummer senden oder Phishing-Sites öffnen.

Auf Geräten, deren Android-Version älter als 4.0.4 ist, kann auch die USSD-Sicherheitslücke über dieses Problem angestoßen werden. In diesem Fall ist ein Angreifer in der Lage, die Daten vom Telefon aus der Ferne zu löschen.

Hoffnung geben die kommenden Verbesserungen in der Android-Sicherheit wie SELinux, Storage Access Framework und Device Administration. Dennoch können Teile des Android-Systems weiterhin ungeschützt sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*