Google hat angekündigt, die Sicherheit seines Mobilbetriebssystems Android zu verbessern. Konkret arbeitet das Unternehmen daran, die Verteidigung des gesamten Ökosystems auf Firmware-Ebene zu stärken.
Die Firmware ist die Software, die für die Konfiguration und Kontrolle der Gerätehardware eingesetzt wird. Somit ist die Firmware auch die erste Software, die beim Gerätestart ausgeführt wird – jegliche andere Software baut auf der Firmware auf. Aufgrund dieser Position spielt die Firmware eine entscheidende Rolle für die gesamte Gerätesicherheit.
Angreifer, die die Firmware eines Smartphones oder Tablets kompromittieren, erhalten vollständigen und dauerhaften Zugriff auf das Gerät, in der Regel sogar ohne Wissen des Nutzers. Firmware-Angriffe sind zwar nicht weit verbreitet, dafür aber für gewöhnlich sehr zielgerichtet. Google reagiert nach eigenen Angaben auf die Arbeit von Sicherheitsforschern, die vermehrt nach Schwachstellen in der Android-Firmware suchen.
„Da die Sicherheit der Android-Plattform stetig verbessert wurde, haben einige Sicherheitsforscher ihren Fokus auf andere Teile des Software-Stacks, einschließlich der Firmware, verlagert“, heißt es im Google Security Blog. „In den letzten zehn Jahren gab es zahlreiche Veröffentlichungen, Vorträge, Gewinner des Pwn2Own-Wettbewerbs und CVEs, die auf die Ausnutzung von Schwachstellen in der Firmware abzielen.
Einige dieser Schwachstellen haben das Einschleusen und Ausführen von Schadcode aus der Ferne erlaubt. Das gilt vor allem für Fehler in der Firmware für WLAN- und Mobilfunk-Baseband-Chips.
Die Sicherheit der Firmware will Google unter anderem dadurch verbessern, dass in anderen Bereichen gesammelte Erfahrungen auf den Schutz der Firmware übertragen werden. Dazu gehören Compiler-basierte Sanitizer, die Fehler in Software aufspüren können. Auch die Funktionen zur Speichersicherheit sollen überarbeitet werden. So will Google beispielsweise Pufferüberlauf-Angriffe auf die Firmware minimieren oder gar abwehren.
„Die Härtung von Firmware, die auf Bare Metal läuft, um das Schutzniveau wesentlich zu erhöhen, ist eine der Prioritäten von Android Security“, ergänzte Google. „Unser Ziel ist es, den Einsatz dieser Schutztechnologien auf weitere Bare-Metal-Ziele auszuweiten, und wir ermutigen unsere Partner nachdrücklich, dasselbe zu tun. Wir sind bereit, unsere Ökosystempartner dabei zu unterstützen, Bare-Metal-Firmware zu härten.“
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.