Sicherheitslücke in Knox
Die Sicherheitsfirma Viral Security Group meldet mit CVE-2016-6584 eine kritische Sicherheitslücke in der Sicherheitserweiterung Knox, die Android-Geräte vor unbefugten Zugriffen schützen soll, informierte zdnet.de. Die Lücke, die die Forscher als KNOXout bezeichneten basiert auf drei Schwachstellen.
Über diese Schwachstellen war es möglich höhere Berechtigungen zu erlangen. Ein Umstand, den die Forscher vor der Veröffentlichung gegenüber Samsung enthüllten. Sie gaben zur Kenntnis, dass sie die volle Kontrolle über ein Samsung Galaxy S6 sowie ein Galaxy Note 5 erhalten haben. Wie verlautet veröffentlichten sie einen Proof of Concept auf GitHub.
Forscher nutzten Lücke
Die Funktionsweise von Samsung Knox hat Viral Security in einem Whitepaper erläutert. Wie verlautet gelang es den israelischen Forschern unter Ausnutzung der schon zuvor bekannten Sicherheitslücke CVE-2015-1805, einen Schutz vor bösartigen Veränderungen und Einfügungen in den Kernel-Code zu umgehen. So konnten sie Code als System-User ausführen. Damit war bereits die Erlaubnis gegeben, legitime Anwendungen durch bösartige zu ersetzen, die ohne Wissen des Nutzers alle verfügbaren Rechte erhalten.
Es gelang auch, die vom RKP-Modul durchgeführten Tests zu identifizieren, die eine Erhöhung von Benutzerrechten verhindern sollen. Mit diesem Wissen konnten die Forscher schließlich RKP aushebeln und Root-Rechte erlangen. Durch die Abschaltung weiterer Kernel-Schutzmaßnahmen konnten sie schließlich ein eigenes unsigniertes Kernel-Modul laden und erhielten eine beschreibbare Systempartition.
Was empfiehlt Samsung?
Samsung empfiehlt allen Kunden, ihre Software und Apps stets aktuell zu halten. Ältere Geräte bleiben jedoch gefährdet. Auch bei neuen Android-Smartphones stehen meist nur für Flaggschiff-Modelle regelmäßige Sicherheitsupdates bereit.
Laut Wired hat der Hersteller die Schwachstellen bei einem kürzlichen Sicherheitsupdate behoben.
Weiterführende Links:
znet.de: KNOXout: Forscher hebeln Samsungs Sicherheitsplattform aus
