IBM: Schwachstelle in Android lässt Angreifer beliebigen Code ausführen

Sicherheitsforscher von IBM haben eine weitere kritische Sicherheitslücke in Android entdeckt. Sie soll über 55 Prozent aller Android-Smartphones betreffen – von Android 4.3 bis zu 5.1 und der ersten Vorschauversion von Android M. Angreifer könnten durch Ausnutzung dieser kritischen Serialization-Lücke weitreichende Systemrechte erhalten. Sie können dadurch eigenen Code in Apps und Services auf dem Gerät ausführen und beispielsweise eine bösartige App als eine Art „Super-App“ einsetzen, auch wenn diese zuvor über keine Berechtigungen verfügte.

Wie Roee Hay und Or Peles vom X-Force Application Security Research Team bei IBM ausführen, können Angreifer die Schwachstelle ausnutzen, um eine auf dem jeweiligen Gerät laufende Anwendung zu ersetzen. Das erlaube ihnen anschließend, auf alle dieser App zugänglichen Daten zuzugreifen. Selbst wenn die Daten verschlüsselt wären, könnte die gefälschte App mühelos die Anmeldedaten des Nutzers stehlen. Die Angreifer könnten außerdem SELinux umgehen durch die Änderung der SELinux-Richtlinien und auf einigen Geräten sogar beliebigen Kernel-Code ausführen. In einer Videodemonstration zeigen die Forscher, wie sie die Facebook-App durch eine andere App ersetzen.

„Die entdeckten Schwachstellen resultieren daraus, dass es einem Angreifer möglich ist, die Pointerwerte während der Objekt-Deserialisierung im frei wählbaren Speicherplatz der App zu kontrollieren“, schreiben die Sicherheitsexperten in einem Blogeintrag. Dieser könne anschließend durch nativen App-Code genutzt werden. Als Einfallstor machten Peles und Hay die Klasse OpenSSLX509Certificate aus und schufen einen Proof-of-Concept-Exploit, der die Ausführung beliebigen Codes erlaubt.

Die Schwachstelle wurde nicht nur in Android und Google Play Services gefunden, sondern auch in verschiedenen Software Development Kits von Drittanbietern. Den Entdeckern zufolge war es nicht besonders schwierig, den Fehler zu beheben. Laut Peles hat Google das Problem in Android 4.4, 5.0, 5.1 sowie im kommenden Android M gefixt. Auch Drittanbieter sollen bei ihren SDKs für Abhilfe gesorgt haben.

Mit StageFright und Certifi-gate waren in den letzten Wochen bereits schwerwiegende Sicherheitslücken in Android bekannt geworden. Nach StageFright – von den Entdeckern als „Mutter aller Android-Lücken“ bezeichnet – setzte ein Umdenken hinsichtlich der Verteilung von sicherheitsrelevanen Updates ein. Google und Samsung kündigten für ihre Geräte regelmäßige Patch-Zyklen an, um die Probleme einzudämmen. Künftig soll mit einer Art regelmäßigem Patchday gewährleistet werden, dass neben den Plattform-Updates auch Sicherheitsupdates die breite Masse der Nutzer so schnell wie möglich erreichen. Allerdings scheint sich Google dafür nicht wie Microsoft und Adobe auf einen bestimmten Tag festlegen zu wollen – bei den beiden ist es der zweite Dienstag im Monat –, sondern lediglich die Selbstverpflichtung aufzuerlegen, derartige Updates mindestens einmal im Monat zu verteilen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.