Android: Und noch eine schwere SicherheitslĂĽcke
Forscher von IBM haben in Googles mobilem Betriebssystem eine Lücke entdeckt, die über die Hälfte aller Android-Geräte betrifft. Sie erlaubt das Übernehmen privilegierter Prozesse durch einen Angreifer. Google hat die Lücke bereits geschlossen.
- Christian Kirsch
Nach Stagefright und Certifi-gate haben IBM-Forscher nun eine dritte Schwachstelle in Android entdeckt, die zahlreiche Geräte betrifft. Sie findet sich in den Versionen 4.3 bis 5.1 einschließlich der Preview von Android M, insgesamt also mehr als der Hälfte aller Android-Devices. Ein Angreifer muss sein Opfer dazu bringen, eine präparierte App zu installieren. Sie verlangt scheinbar keine besonderen Zugriffsrechte, was fälschlich Sicherheit suggeriert.
Die Schwachstelle steckt in der Klasse OpenSSLX509Certificate, wie Or Peles und Roee Hay in ihrem Papier erläutern (PDF-Dokument). Sie enthält mit mContext ein Attribut, das auf lokalen Speicherplatz zeigt und nicht mit transient markiert ist. Übergibt eine App so ein Objekt per Intent an eine andere Anwendung, wird beim Serialisieren und Deserialisieren der Wert von mContext fälschlicherweise ebenfalls übertragen. Gibt der Garbage Collector (GC) das deserialisierte Objekt frei, wird dessen finalize-Methode aufgerufen, die wiederum Zugriff auf den Inhalt von mContext hat.
Mit Hilfe dieses Verfahrens gelang es den IBM-Forschern, den Programmzähler des angegriffenen Programms zu manipulieren und so beliebigen Code in dessen Kontext auszuführen. Insbesondere konnten sie den system_server-Prozess angreifen, sodass der Code in dessen privilegierten Kontext lief. Dadurch gelang es etwa, Apps durch andere zu ersetzen und die Einschränkungen des auf dem Gerät laufenden SELinux-Kernels aufzuheben, indem die Forscher ihm eine andere Policy-Datei unterschoben.
Google hat den Bug (CVE2015-3825) inzwischen behoben. Wie bei Android üblich, ist nicht klar, ob und wann diese Korrektur die Endkunden erreicht. Einstweilen können sich Anwender vermutlich nur dadurch schützen, dass sie auf das Installieren von Apps verzichten, die nicht aus Googles PlayStore stammen – im Vertrauen darauf, dass die dort angebotenen Programme gründlich geprüft sind.
Update 13.8. 8:45: Hinweise auf Angriffsvektor und Schutzmaßnahmen ergänzt.
(ck)