Android 4.4.4: Kritischste Sicherheitslücke weiterhin offen

Mit dem jüngsten Nacht-und-Nebel-Update Android 4.4.4 wird eine weitere Sicherheitslücke für OpenSSL geschlossen. Der wahre Feind steckt aber hinter Towelroot.

© https://www.flickr.com/photos/tiagoafpereira/

OpenSSL dürfte vielen von Euch noch im Zusammenhang mit dem Heartbleed-Bug in Erinnerung sein. Während dieser vor allem auf Serverseite zu patchen, und für den Otto-Normal-User nur wenig zu machen war, liegen andere Lücken in OpenSSL sowohl auf Server- als auch auf User-Seite.

Darunter befindet sich die mit Android 4.4.4 behobene Möglichkeit einer ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224. Dank ihr können Hacker verschlüsselte Daten eines Servers oder Clients, der eine alte OpenSSL-Version nutzt, entschlüsseln, und die Identität einer der Seiten stehlen oder einfach eine Verbindung abhören.

Towelroot/futex bleibt unberührt

Der kürzlich vorgestellte Root-Hack Towelroot, der etliche Android-Geräte ohne einen PC mit Root-Rechten ausstattet, nutzt eine Sicherheitslücke, die nach wie vor nicht mit Android 4.4.4 gepatcht wird. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Openwall-Mailinglist-Mitglied Rich Felker bezeichnet ihn als “wahrscheinlich größten Sicherheitsmangel in Linux in den vergangenen fünf Jahren (wenn nicht seit Anbeginn)”, da mit ihm auch aus abgeschlossenen Systemen heraus der Betriebssystem-Kern kompromittiert werden kann.

Dies geschieht laut der National Vulnerability Database über die Kernel-Funktion futex_requeue und ist möglich, da sie in Kernel-Versionen bis 3.14.5 nicht überprüft, dass Aufrufe zwei unterschiedliche futex-Adressen haben. Gezinkte FUTEX_REQUEUE-Kommandos können wahlweise zum Rechte-Aufstieg (wie beim Towelroot), oder zum Lahmlegen des Systems genutzt werden.

Für Android allgemein bedeutet dies, dass Apps mit Towelroot-ähnlichen Komponenten ausgestattet werden könnten, um nach ihrer Installation temporär Superuser-Privilegien zu erhalten und Komponenten in Euer System einschleusen könnten, deren exakte Funktionalität für Euch verborgen bleiben. Diese Komponenten würdet Ihr überdies mangels Root-Rechten ohne Weiteres nicht entfernen können.

Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software entlang der jüngsten Sicherheitsbekanntmachungen der CVE und der NVD abscannt, denn anstonsten würde das Vertrauen in das von Google geschaffene Ökosystem schnell leiden.

via androidpit.de

Sicherheitslücke: Nexus-Smartphones lassen sich per SMS neu starten

Flash SMS waren in der Anfangszeit des GSM-Standards populär: sie erscheinen nach dem Erhalt sofort am Bildschirm und sind somit für Warnungen und Informationen über den Netzwerkzustand nützlich.

Aufgrund der immer geringer werdenden Nutzung testen die Hersteller ihre Implementierungen nur sehr marginal. Der Sicherheitsexperte Bogdan Alecu fand nun eine Schwäche in der Software von Google, die das Neustarten des Telefons erlaubt:

Das Google Nexus 4 lässt sich per Flash SMS “außer Gefecht setzen”

Der Angriff beginnt durch den Versand einer größeren Menge – in Presseberichten ist meist von rund 30 Stück die Rede – von Flash SMS. Im Normalfall bootet das Telefon daraufhin neu und verlangt die PIN: die Verbindung zum Netzwerk wird allerdings erst nach einem weiteren Reboot wiederhergestellt. Das ist insofern bösartig, als das Telefon nach dem Eingeben der PIN “lebendig erscheint”, aber nicht mehr ansprechbar ist.

In seltenen Fällen verliert das Telefon die Verbindung zu den Datendiensten: Anrufe kommen in diesem Fall zwar noch an; GottaTxt, WhatsApp und Skype sind dann allerdings “off”. In diesem Fall lässt sich die Funktion durch einen einfachen Reboot wiederherstellen.

Amüsanterweise scheint das Problem auf die Telefone von Google beschränkt zu sein. Alecu behauptet, eine Gruppe von Telefonen von anderen Herstellern untersucht zu haben: der Fehler trat bei ihnen – unabhängig von der installierten Android-Version – nicht auf. Aus diesem Blickwinkel betrachtet ist es nicht unwahrscheinlich, dass der Fehler im Homescreen von Google steckt: wenn dies der Fall wäre, so wären die im Play Store erhältlichen “developer editions” von HTC one und Galaxy S4 ebenfalls verwundbar.

Alecu hat Google im letzten Jahr mehrfach kontaktiert, um den Fehler zu melden (responsible disclosure). Da Google ihn keiner wirklichen Antwort würdig erachtete, geht der Exploit nun an die Öffentlichkeit. Diese sehr verantwortungsvolle Vorgehensweise ist im Einklang mit den diversen Richtlinien der Computersicherheitsszene; das Nicht-Reagieren auf Seiten von Google sollte dem Unternehmen zu denken geben. Immerhin wurde nach dem Bekanntwerden des Exploits ein Patch zugesagt.

Die praktische Gefährlichkeit dieses Angriffs wird formell als gering eingestuft – er nimmt den User zwar offline, erlaubt nach derzeitigem Wissensstand aber keinen Zugriff auf die am Telefon befindlichen Daten. Sicherheitsexperten klassifizieren die Attacke deshalb als unkritisches “denial of service”: wenn dein Kollege im Schlechtverdienerviertel Streitigkeiten austrägt und keine Verstärkung herbeirufen kann, sieht die Lage naturgemäß anders aus.

Falls du ein Nexus-Handy hast und bei deinen Mitmenschen unbeliebt bist, so solltest du die von SilentServices angebotene Class0Firewall installieren. Dieses bei Google Play kostenlos herunterladbare Programm verspricht, eingehende Angriffs-SMS zu blockieren und ihre Absender zu “benennen”.

via androidmag.de

Android-Sicherheitslücke: Google hat bereits Patch entwickelt

So schnell kann es manchmal gehen. Vergangene Woche machte eine vermeintliche Horrormeldung über eine Sicherheitslücke die Runde, die angeblich 99 Prozent aller Android-Geräte betrifft. Heute hat Google bereits einen Patch an die Hardware-Hersteller ausgeliefert, der diese Lücke schließt.

Es gibt ständig neue Meldungen über Android-spezifische Malware, die sich häufig allerdings als gar nicht so eklatant herausstellen. Eine solche Meldung verbreitete vergangene Woche Angst und Schrecken in der Technikwelt – diese sollte angeblich rund 99 Prozent aller Android-Geräte betreffen. Demnach soll es für Entwickler mit dubiosen Absichten möglich sein, den Quellcode einer APK-Datei so zu verändern, dass kompletter Zugriff auf betroffene Android-Smartphones und Tablets erlangt werden kann.

Es soll also nicht nur möglich sein, auf dem Androiden befindliche Nachrichtenund Daten auszulesen, sondern auch SMS zu verschicken, Anrufe zu tätigen und Fotos aufzunehmen oder gar Botnetzen beitreten, ohne dass der Besitzer etwas davon bemerkt. Da außerdem die kryptographische Signatur der APK-Datei nicht verändert wird, erkennt das auf dem Gerät installierte System die Manipulation nicht.

Nun hat Google einen Patch für OEMs (Original Equipment Manufacturer) freigegeben, der eben genau diese Lücke, die seit Android 1.6 besteht, wieder schließt. Manche Hersteller, etwa Samsung, haben den Patch bereits in aktuelle Firmwares implementiert. Zwar können wir davon ausgehen, dass dieser Patch auch in künftige Android-Versionen integriert sein wird, ältere Geräte sind allerdings von der Update-Politik der jeweiligen Hersteller abhängig, die bekanntlich deutlich in der Kritik steht.

Panik unter den Besitzern älterer Geräte ist aber trotzdem nicht angebracht, denn die Sicherheitslücke ist ohnehin nicht so gravierend, wie sie von dessen Entdecker dargestellt wurde. Faktisch sind maximal Apps betroffen, die aus inoffiziellen Quellen heruntergeladen und installiert erden. Alle in den Google Play Store eingestellten Apps werden automatisch nach diesem Schädling durchsucht, wer sich also an diese App-Quelle hält und in den Systemeinstellungen nicht die Installation von Apps aus unbekannten Quellen aktiviert hat, ist ohnehin auf der sicheren Seite.

Natürlich entbindet das uns Nutzer nicht von der Verantwortung, darauf zu achten, was man sich installiert – aber von 99 Prozent gefährdeter Geräte kann keine Rede sein – ein Großteil der Android-Nutzer wird unserer Einschätzung nach die entsprechende Sicherheitseinstellung nicht geändert haben und dementsprechend auch nicht gefährdet sein.

via androidnext.de