Sicherheitsforscher von Universitäten in Deutschland und den USA haben ein Framework für Googles Betriebssystem Android vorgeschlagen, das Anwendern und Entwicklern Sicherheits-Plug-ins ermöglichen würde. Sie taufen das System Android Security Modules (ASM). Es soll sicherstellen, dass jeder Android-Nutzer Zugang zu Sicherheitskorrekturen hat, und wäre zugleich ein Ansatzpunkt für Anbieter von Security-Software.
Die Forscher der Technischen Universität Darmstadt und der North Carolina State University schildern ASM in einem Forschungsbericht (PDF), den sie diese Woche auch auf dem Usenix Security Symposium in San Diego vorstellen werden. Zusätzlich haben sie ihre Software für nichtkommerziellen Einsatz frei verfügbar gemacht – mit dem Hinweis, dass sie ihr Potenzial erst durch eine Integration ins Betriebssystem voll entfalten würde.
Einer der Autoren, Assistenzprofessor William Enck aus North Carolina, kommentiert: „Im heutigen Wettrüsten zwischen White-Hat- und Black-Hat-Hackern werden ständig neue Sicherheitserweiterungen erdacht. Diese Werkzeuge gelangen aber nie in die Hände der Anwender, da jede einen Wechsel der Firmware oder des Betriebssystems erfordert. Das ASM-Framework erlaubt eine Implementierung solcher Erweiterungen ohne Aktualisierung der Firmware.“
Das Betriebssystem würde ASM-Sicherheitsmodule im Zweifelsfall aufrufen, um zu bestimmen, ob eine Aktion durchgeführt werden soll. Enck: „Unser ASM-Framework könnte in diversen privaten und Firmen-Szenarien zum Einsatz kommen. Zum Beispiel ließe sich eine Zweiteilung realisieren, sodass Anwender ihre Smartphones sowohl zu Hause als auch in der Arbeit sicher einsetzen könnten, Privat- und Firmendaten aber strikt getrennt blieben.“ Eine solche Trennung ermöglichen etwa Samsung Knox und Blackberry Balance.
„Zusätzlich wären Module zum Schutz der Privatsphäre denkbar. Das Framework sieht Aufrufe vor, um Daten zu filtern, zu modifizieren oder zu anonymisieren, bevor sie Drittanbieter-Apps zur Verfügung gestellt werden“, sagt der US-Forscher.
Die Veröffentlichung des Frameworks zum jetzigen Zeitpunkt sei für Sicherheitsspezialisten gedacht, erklärt er weiter. Für eine ernsthafte Nutzung müsste es Google oder ein Android-Gerätehersteller fest integrieren. Dazu wären allerdings Änderungen am architektonischen Kern von Android nötig, sodass ein kurzfristiger Einbau unwahrscheinlich ist.
Google hat zuletzt selbst den Ansatz verfolgt, Android-Sicherheitspatches modular zu machen und somit auch an Endgeräte mit älteren Versionen des Betriebssystems zu verteilen. Dazu nutzt es die App Google Play-Dienste, die diese Aufgabe ab Version 5.0 übernimmt.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…