Mobile Security

Android-Hersteller ermöglichen Sicherheitslücken

Gefahren durch gerätespezifische Kernelanpassungen bei Android - Umdenken bei den Herstellern gefordert

Der deutsche Sicherheitsforscher Jann Horn, der derzeit für Googles Project Zero arbeitet, kritisiert in einem Blogpost Android-Gerätehersteller. Deren gerätespezifische Änderungen verursachen laut ihm Sicherheitslücken, die vermeidbar wären.

Nach derzeitigem Stand dürfen die Hersteller von Android-Smartphones und -Tablets für das jeweilige Gerät spezifische Anpassungen am Android-Kernel von Google vornehmen. Allerdings ist dieser Code oft auch eine Quelle von Sicherheitslücken und Angriffspunkten für Malware. Um diese Gefahr zu verringern, baut Google inzwischen zusätzliche Sicherheitsfunktionen ein. So beschränkt Android inzwischen den Zugriff auf diese herstellerspezifischen Gerätetreiber auf ausgewählte Softwareprozesse.

Lösungsvorschlag

Um die Sicherheit weiter zu steigern, schlägt Jann Horn vor, dass die Hersteller solche Zugriffe zukünftig nicht mehr über eigene Treiber vornehmen, sondern dafür sicherere Schnittstellen verwenden. Als Nebeneffekt würden sich dadurch auch leichter Kernel-Updates auf den Geräten einspielen lassen, weil langlebige Userspace-Schnittstellen zum Einsatz kommen und weniger Kernel-APIs, die sich ab und zu ändern.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben