Externe Entwickler beheben Fehler im Android-SDK

Über die Android Debug Bridge ist ein Pufferüberlauf möglich. Aufgrund eines nur Google bekannten Fehlers handelt es sich auch um positionsabhängigen Code. Die inzwischen gepatchte Anfälligkeit auszunutzen wäre laut Droidsecurity "trivial".

Eine Entwicklergemeinschaft namens Droidsec hat zwei Sicherheitsprobleme im Software Development Kit (SDK) für Android entdeckt und behoben. Es handelt sich um einen klassischen Pufferüberlauf in Verbindung mit fehlender Härtung, die zusammen einen „trivialen“ Angriff ermögichten. Betroffen waren alle Versionen der Android Debug Bridge (ADB) unter Linux x86_64. Die Windows-Version haben die Entwickler nicht untersucht.

Android-Malware

Gefunden haben sie die Schwachstellen laut einem Blogeintrag beim Einsatz von Version 18.0.1 der Android-Werkzeuge unter Ubuntu-Linux 12.04 in der 64-Bit-Version. Auf 32-Bit-Linux-Systemen und mit einer auf dem Smartphone Google Nexus 4 gefundenen adb-Datei ließen sie sich nicht reproduzieren.

Ein Missbrauch der Anfälligkeit wäre möglich, indem ein Angreifer einen bösartigen ADB-Server aufsetzt, der Android-Systeme in einer Multiuser-Umgebung kontaktiert, also auf ADB-Clients wartet. Diese werden von Entwicklern eingesetzt, um Fehler in Apps aufzuspüren und Befehle an Geräte zu senden. Droidsec zufolge könnte der falsche ADB-Server jedes System missbrauchen, das mit ihm kommuniziert.

„Festzuhalten ist auch, dass die Host-Kompilierung offenbar absichtlich einen Schutz durch FORTIFY_SOURCE ausschließt“, heißt es im Blog. „Warum, ist unklar, denn ein Kommentar neben dieser Codezeile verweist auf eine nur intern genutzte Fehlernummer.“ Eine Kombination der beiden Lücken ermögliche einen Angriff.

Das Problem wird somit dadurch verschärft, dass die ADB-Binärdatei einen nicht ausführbaren Stack aufweist und positionsabhängig ist. Somit lässt sich vorhersagen, wo im Speicher die per Pufferüberlauf geschriebenen Daten landen. Dies auszunützen sei „trivial“.

Diese Anfälligkeiten hatte Droidsec schon Anfang Dezember entdeckt und kurz darauf Google mit Patches versorgt, die auch in den Quelltext von Android aufgenommen wurden. Da Google aber seither nichts darüber verlauten ließ, entschied sich die Gruppe jetzt, selbst über Lücken und Patches zu informieren.

Einen nicht mit der Lücke zusammenhängenden Beitrag zur Android-Sicherheit hat gerade erst auch Facebook geleistet. Es legte den Quelltext von Conceal offen, einer Reihe von Java-APIs, die der Verschlüsselung von auf Android-Geräten gespeicherten Nutzerdaten dienen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Droidsec, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Externe Entwickler beheben Fehler im Android-SDK

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *