Eine Entwicklergemeinschaft namens Droidsec hat zwei Sicherheitsprobleme im Software Development Kit (SDK) für Android entdeckt und behoben. Es handelt sich um einen klassischen Pufferüberlauf in Verbindung mit fehlender Härtung, die zusammen einen „trivialen“ Angriff ermögichten. Betroffen waren alle Versionen der Android Debug Bridge (ADB) unter Linux x86_64. Die Windows-Version haben die Entwickler nicht untersucht.
Gefunden haben sie die Schwachstellen laut einem Blogeintrag beim Einsatz von Version 18.0.1 der Android-Werkzeuge unter Ubuntu-Linux 12.04 in der 64-Bit-Version. Auf 32-Bit-Linux-Systemen und mit einer auf dem Smartphone Google Nexus 4 gefundenen adb-Datei ließen sie sich nicht reproduzieren.
Ein Missbrauch der Anfälligkeit wäre möglich, indem ein Angreifer einen bösartigen ADB-Server aufsetzt, der Android-Systeme in einer Multiuser-Umgebung kontaktiert, also auf ADB-Clients wartet. Diese werden von Entwicklern eingesetzt, um Fehler in Apps aufzuspüren und Befehle an Geräte zu senden. Droidsec zufolge könnte der falsche ADB-Server jedes System missbrauchen, das mit ihm kommuniziert.
„Festzuhalten ist auch, dass die Host-Kompilierung offenbar absichtlich einen Schutz durch FORTIFY_SOURCE ausschließt“, heißt es im Blog. „Warum, ist unklar, denn ein Kommentar neben dieser Codezeile verweist auf eine nur intern genutzte Fehlernummer.“ Eine Kombination der beiden Lücken ermögliche einen Angriff.
Das Problem wird somit dadurch verschärft, dass die ADB-Binärdatei einen nicht ausführbaren Stack aufweist und positionsabhängig ist. Somit lässt sich vorhersagen, wo im Speicher die per Pufferüberlauf geschriebenen Daten landen. Dies auszunützen sei „trivial“.
Diese Anfälligkeiten hatte Droidsec schon Anfang Dezember entdeckt und kurz darauf Google mit Patches versorgt, die auch in den Quelltext von Android aufgenommen wurden. Da Google aber seither nichts darüber verlauten ließ, entschied sich die Gruppe jetzt, selbst über Lücken und Patches zu informieren.
Einen nicht mit der Lücke zusammenhängenden Beitrag zur Android-Sicherheit hat gerade erst auch Facebook geleistet. Es legte den Quelltext von Conceal offen, einer Reihe von Java-APIs, die der Verschlüsselung von auf Android-Geräten gespeicherten Nutzerdaten dienen.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Externe Entwickler beheben Fehler im Android-SDK
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.