Zahlreiche Hersteller nutzen unsichere Android-Kernels
In einer Analyse von Smartphones von zehn Herstellern haben Forschende der TU Graz festgestellt, dass die genutzten Android-Kernels trotz vorhandener Schutzmechanismen anfällig für bekannte Angriffe - sogenannte One-Day Exploits - sind.
Smartphones sind für viele Menschen stetige Begleiter und wichtiges Arbeitswerkzeug. Neben Kontakten, Terminen und E-Mails kommen die Geräte vermehrt auch für sensible Aufgaben wie Online-Banking oder behördliche Angelegenheiten zum Einsatz. Das erhöht die Anforderungen an die Sicherheit. Wie Lukas Maar, Florian Draschbacher, Lukas Lamster und Stefan Mangard vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz in einer umfangreichen Analyse der Android-Kernels der zehn größten und namhaftesten Smartphone-Hersteller festgestellt haben, gibt es hier zahlreiche Mängel, die One-Day Exploits mit bereits bekannten Angriffsmethoden zuließen. Ihre Ergebnisse haben die Forschenden am 15. August auf dem Usenix Security Symposium in Philadelphia, USA vorgestellt (https://www.usenix.org/system/files/usenixsecurity24-maar-defects.pdf).
Je nach Hersteller und Modell konnten bei den untersuchten 994 Smartphones nur zwischen 29 und 55 Prozent der vom Forschungsteam getesteten Angriffe verhindert werden. Im Gegensatz dazu könnte das von Google bereitgestellte Generic Kernel Image (GKI) der Version 6.1 rund 85 Prozent der Angriffe verhindern. Im Vergleich zum GKI schnitten die Hersteller-Kernels bei der Angriffsabwehr bis zu 4,6-mal schlechter ab. Untersucht hat das Forschungsteam zwischen 2018 und 2023 auf den Markt gekommene Geräte dieser Hersteller (Auflistung vom sichersten zum unsichersten): Google, Realme, OnePlus, Xiaomi, Vivo, Samsung, Motorola, Huawei, Oppo und Fairphone. Die auf diesen Smartphones verwendeten Android-Versionen reichten von Version 9 bis 14, die Kernels deckten den Bereich von Version 3.10 bis 6.1 ab, wobei Hersteller, die auf niedrigere Kernel-Versionen setzen, auch weniger Sicherheit bieten.
Effektive Abwehrmechanismen selten aktiviert
Ein weiterer Kernpunkt der Analyse: Es gäbe bereits effektive Abwehrmaßnahmen für eine Reihe der bekannten Angriffsmethoden, in den Kernels der Hersteller sind sie aber selten aktiviert, bzw. sind die Kernels falsch konfiguriert. Das führt dazu, dass sogar die Kernel-Version 3.1 aus dem Jahr 2014 mit allen aktivierten Sicherheitsmaßnahmen besser vor bekannten Angriffen schützen könnte als rund 38 Prozent der von den Herstellern selbst konfigurierten Kernels. Zusätzlich stellten die Forschenden fest, dass Low-End-Modelle der Hersteller um rund 24 Prozent stärker gefährdet waren als High-End-Modelle. Ein wichtiger Grund dafür liegt im Leistungsverlust, den zusätzliche Sicherheitsmaßnahmen bedeuten, weswegen sie in Low-End-Modellen zur Ressourcenschonung oft deaktiviert bleiben.
„Wir hoffen, dass unsere Ergebnisse dazu beitragen, dass in Zukunft effektivere Sicherheitsmaßnahmen in den Kernels der Hersteller zu finden sind und Android damit sicherer wird“, sagt Lukas Maar. „Wir haben unsere Analyse auch mit den untersuchten Herstellern geteilt und Google, Fairphone, Motorola, Huawei und Samsung haben diese zur Kenntnis genommen – einige haben sogar Patches veröffentlicht. Wir haben Google auch vorgeschlagen, das Android Compatibility Definition Document (CDD) zu aktualisieren, in dem der Rahmen für die Anforderungen festgelegt wird, damit Geräte mit Android kompatibel sind. Google selbst hat betont, sich des Problems bewusst zu sein und möchte die Integration von Kernel-Sicherheitsmaßnahmen Schritt für Schritt verstärken. Es hängt allerdings an den Herstellern, ob sie dafür Leistung opfern möchten.“
Dieses Projekt wurde durch die Forschungsförderungsgesellschaft FFG im Rahmen des Projekts SEIZE gefördert und ist im Field of Expertise „Information, Communication & Computing“ verankert, einem von fünf strategischen Schwerpunktfeldern der TU Graz.
Wissenschaftlicher Ansprechpartner:
Lukas MAAR
Dipl.-Ing. BSc BSc
TU Graz | Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie
Tel.: +43 316 873 5578
lukas.maar@tugraz.at
Originalpublikation:
Defects-in-Depth: Analyzing the Integration of Effective Defenses against One-Day Exploits in Android Kernels https://www.usenix.org/system/files/usenixsecurity24-maar-defects.pdf