Google hat einigen der führenden Hersteller von Mobiltelefonen wegen der Änderung von Linux-Kernel-Codes innerhalb seiner Android-Plattform eine Abreibung verpasst.
Laut dem Google Sicherheitsteam "Project Zero" haben mehrere Telefonhersteller an der Software herumgebastelt, um ihre Geräte sicherer zu machen - dadurch wurden die Smartphones jedoch anfälliger für schwerwiegende Sicherheitsfehler.
Dazu gehört auch Samsung, dessen Basteln am Android-Linux-Kernel dazu geführt hat, dass die Geräte des Unternehmens einer Reihe von Bedrohungen ausgesetzt sind.
Erzeugen von Schwachstellen
Google hat vorgeschlagen, dass die Hersteller die eingebauten Sicherheitsfunktionen von Android verwenden sollten, anstatt unnötige Änderungen am Betriebssystemkern vorzunehmen.
Jann Horn von Google zitierte ein Beispiel von Samsungs Galaxy A50 und zeigte, dass Samsung während der Durchführung dieser Änderungen benutzerdefinierte Treiber hinzufügte und so direkten Zugang zum Kernel schuf. Dies sollte zwar die Sicherheit auf dem Gerät erhöhen, verursachte aber einen Fehler, der den Speicher beschädigte.
Samsung beschrieb den Fehler als ein moderates Problem, das aus "Use-after-free"- und "Double free"-Schwachstellen auf Geräten besteht, auf denen Android 9 Pie und Android 10 laufen und die das Sicherheits-Subsystem PROCA (Process Authenticator) des Unternehmens betreffen. Dieser Fehler wurde mit einem Update im letzten Februar-Update des Unternehmens gepatcht.
Die Beiträge von Horn deuten auch darauf hin, dass gerätespezifische Kernel-Änderungen eine häufige Quelle von Schwachstellen sind und bezeichneten diese als "unnötig", was Googles Arbeit an der Sicherung des Betriebssystems zunichte macht.
Er hob ein weiteres Beispiel von Samsung hervor, das besagt, dass eine der Änderungen an einem Gerät darauf abziele, einen Angreifer einzuschränken, der "willkürliche Kernel-Lese-/Schreibzugriffe" erhalte. Er bezeichnete diese Änderungen als "vergeblich" und erwähnte, dass die technischen Ressourcen besser hätten genutzt werden können, wenn sichergestellt worden wäre, dass ein Hacker nicht einmal diesen Punkt erreicht.
Er schloss mit dem Appell, dass "idealerweise alle Anbieter dazu übergehen sollten, unterstützte Upstream-Kernel zu verwenden und häufig Aktualisierungen von diesen anzuwenden".
- Schütze deine Geräte mit der besten Antiviren-Software (Link englischsprachig)
Via: Google Project Zero (Öffnet sich in einem neuen Tab)