Eine Entwicklergemeinschaft namens Droidsec hat zwei Sicherheitsprobleme im Software Development Kit (SDK) für Android entdeckt und behoben. Es handelt sich um einen klassischen Pufferüberlauf in Verbindung mit fehlender Härtung, die zusammen einen „trivialen“ Angriff ermögichten. Betroffen waren alle Versionen der Android Debug Bridge (ADB) unter Linux x86_64. Die Windows-Version haben die Entwickler nicht untersucht.
Gefunden haben sie die Schwachstellen laut einem Blogeintrag beim Einsatz von Version 18.0.1 der Android-Werkzeuge unter Ubuntu-Linux 12.04 in der 64-Bit-Version. Auf 32-Bit-Linux-Systemen und mit einer auf dem Smartphone Google Nexus 4 gefundenen adb-Datei ließen sie sich nicht reproduzieren.
Ein Missbrauch der Anfälligkeit wäre möglich, indem ein Angreifer einen bösartigen ADB-Server aufsetzt, der Android-Systeme in einer Multiuser-Umgebung kontaktiert, also auf ADB-Clients wartet. Diese werden von Entwicklern eingesetzt, um Fehler in Apps aufzuspüren und Befehle an Geräte zu senden. Droidsec zufolge könnte der falsche ADB-Server jedes System missbrauchen, das mit ihm kommuniziert.
„Festzuhalten ist auch, dass die Host-Kompilierung offenbar absichtlich einen Schutz durch FORTIFY_SOURCE ausschließt“, heißt es im Blog. „Warum, ist unklar, denn ein Kommentar neben dieser Codezeile verweist auf eine nur intern genutzte Fehlernummer.“ Eine Kombination der beiden Lücken ermögliche einen Angriff.
Das Problem wird somit dadurch verschärft, dass die ADB-Binärdatei einen nicht ausführbaren Stack aufweist und positionsabhängig ist. Somit lässt sich vorhersagen, wo im Speicher die per Pufferüberlauf geschriebenen Daten landen. Dies auszunützen sei „trivial“.
Diese Anfälligkeiten hatte Droidsec schon Anfang Dezember entdeckt und kurz darauf Google mit Patches versorgt, die auch in den Quelltext von Android aufgenommen wurden. Da Google aber seither nichts darüber verlauten ließ, entschied sich die Gruppe jetzt, selbst über Lücken und Patches zu informieren.
Einen nicht mit der Lücke zusammenhängenden Beitrag zur Android-Sicherheit hat gerade erst auch Facebook geleistet. Es legte den Quelltext von Conceal offen, einer Reihe von Java-APIs, die der Verschlüsselung von auf Android-Geräten gespeicherten Nutzerdaten dienen.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
