Mit dem jüngsten Nacht-und-Nebel-Update Android 4.4.4 wird eine weitere Sicherheitslücke für OpenSSL geschlossen. Der wahre Feind steckt aber hinter Towelroot.
OpenSSL dürfte vielen von Euch noch im Zusammenhang mit dem Heartbleed-Bug in Erinnerung sein. Während dieser vor allem auf Serverseite zu patchen, und für den Otto-Normal-User nur wenig zu machen war, liegen andere Lücken in OpenSSL sowohl auf Server- als auch auf User-Seite.
Darunter befindet sich die mit Android 4.4.4 behobene Möglichkeit einer ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224. Dank ihr können Hacker verschlüsselte Daten eines Servers oder Clients, der eine alte OpenSSL-Version nutzt, entschlüsseln, und die Identität einer der Seiten stehlen oder einfach eine Verbindung abhören.
Towelroot/futex bleibt unberührt
Der kürzlich vorgestellte Root-Hack Towelroot, der etliche Android-Geräte ohne einen PC mit Root-Rechten ausstattet, nutzt eine Sicherheitslücke, die nach wie vor nicht mit Android 4.4.4 gepatcht wird. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Openwall-Mailinglist-Mitglied Rich Felker bezeichnet ihn als “wahrscheinlich größten Sicherheitsmangel in Linux in den vergangenen fünf Jahren (wenn nicht seit Anbeginn)”, da mit ihm auch aus abgeschlossenen Systemen heraus der Betriebssystem-Kern kompromittiert werden kann.
Dies geschieht laut der National Vulnerability Database über die Kernel-Funktion futex_requeue und ist möglich, da sie in Kernel-Versionen bis 3.14.5 nicht überprüft, dass Aufrufe zwei unterschiedliche futex-Adressen haben. Gezinkte FUTEX_REQUEUE-Kommandos können wahlweise zum Rechte-Aufstieg (wie beim Towelroot), oder zum Lahmlegen des Systems genutzt werden.
Für Android allgemein bedeutet dies, dass Apps mit Towelroot-ähnlichen Komponenten ausgestattet werden könnten, um nach ihrer Installation temporär Superuser-Privilegien zu erhalten und Komponenten in Euer System einschleusen könnten, deren exakte Funktionalität für Euch verborgen bleiben. Diese Komponenten würdet Ihr überdies mangels Root-Rechten ohne Weiteres nicht entfernen können.
Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software entlang der jüngsten Sicherheitsbekanntmachungen der CVE und der NVD abscannt, denn anstonsten würde das Vertrauen in das von Google geschaffene Ökosystem schnell leiden.
via androidpit.de
Keine Kommentare:
Kommentar veröffentlichen