Garching, 15.05.2012 – Die Forscher des Fraunhofer AISEC (www.aisec.fraunhofer.de) haben ein automatisiertes Framework zur Schwachstellenanalyse von Geräten, die auf dem Betriebssystem Android basieren, entwickelt. Damit lassen sich Sicherheitslücken des Systems identifizieren, Gefahren für Nutzer rechtzeitig erkennen und Abwehrmechanismen entwickeln. Das Test-Framework der IT-Sicherheitsexperten aus Garching bei München richtet sich an Unternehmen, die Android-Geräte in ihre Unternehmensnetze einbinden und verwalten. Damit können die IT-Verantwortlichen der Unternehmen die eingesetzten Android-Geräte auf aktuelle Schwachstellen testen und die Gefahren für die Unternehmens-IT abschätzen. Durch die zunehmende Nutzung von Android-Geräten im Unternehmensumfeld werden Werkzeuge und Methoden benötigt, um die Geräte auf Schwachstellen zu prüfen. Das Framework von AISEC ist einfach erweiterbar, so dass auch zukünftige Schwachstellen analysiert werden können.
Die starke Verbreitung von Android-Geräten im Unternehmensumfeld sowie die steigende Anzahl an Anwendungen (Apps) stellt zunehmend eine Gefahr für die Unternehmens-IT dar. „Problematisch sind Geräte, die von den Mitarbeitern auch privat genutzt werden – Stichwort „Bring Your Own Device““, so Dr. Volker Fusenig, Experte für Netzsicherheit und die Abwehr von Schadsoftware beim Fraunhofer AISEC. „Werden dann auch noch Apps von nichtoffiziellen App-Markets geladen, wird die Herausforderung für die IT-Administratoren im Unternehmen gigantisch“, so Fusenig weiter. Er ist einer der Autoren des AISEC Technical Reports mit dem Titel „Android OS Security: Risks and Limitations. A Practical Evaluation“. Der Report erläutert die praktische Umsetzung des Frameworks und diskutiert aktuelle Bedrohungsszenarien. Unter bit.ly/AISEC-Android-Report steht er zum kostenlosen Download bereit. Das Fraunhofer AISEC gehört zu den führenden Forschungseinrichtungen für angewandte IT-Sicherheit. Der Forschungsbereich „Netzsicherheit und Frühwarnsysteme“ beschäftigt sich mit der Absicherung von Kommunikationsnetzen sowie der Entwicklung von intelligenten Systemen zur Erkennung von Schadsoftware.
Android Test Framework
Das Framework von Fraunhofer AISEC ermöglicht die Analyse von Sicherheitslücken in Android. Vor allem verweisen die Forscher auf eine bekannte systembedingte Schwachstelle, die es einem Angreifer besonders leicht machen kann: Denn zusätzlich zur Ausführung von Apps, die in Java geschrieben sind und durch eine Sandbox geschützt sind, bietet Android die Möglichkeit an, Programmteile in nativem C-Code auszuführen. Diese Möglichkeit steht bisher unter keiner eindeutigen Kontrolle. Bösartige Apps könnten durch Exploits, die in nativem Code geschrieben sind, die Schutzmechanismen der Sandbox umgehen und so beispielsweise auf private Daten zugreifen.
Um das Android-System automatisiert auf bekannte Schwachstellen zu prüfen, integriert das Framework derzeit verfügbare Exploits. Zudem kann es sehr einfach erweitert werden, sobald neue Exploits bekannt werden. „Das Android-Betriebssystem ist von Haus aus eigentlich gut abgesichert. Trotz der Möglichkeit der Ausführung des nativen Codes müssten für einen erfolgreichen Angriff weitere Sicherheitslücken im Betriebssystem existieren. Deshalb raten wir zu regelmäßigen System-Updates, die solche Lücken schließen sollen“, so Dr. Volker Fusenig. „Das Problem besteht jedoch darin, dass ein Großteil der älteren Geräte nicht mehr mit Updates versorgt wird. Nur ein geringer Anteil (ca. 5 Prozent) der Geräte läuft auf der aktuellsten Android-Version 4.0.“ Das Framework bietet sowohl Privatanwendern als auch Firmen eine Möglichkeit, ihre Android-Geräte, Smartphones bzw. Tablets, untersuchen zu lassen.
Neue Bedrohungsszenarien
Bei der ganzheitlichen Sicherheitsanalyse des Betriebssystems Android haben die IT-Sicherheitsexperten am Fraunhofer AISEC auch neue Bedrohungsszenarien betrachtet. Ein neues Bedrohungsszenario ergibt sich aus Updates des Betriebssystems sowie den damit verbunden technischen Neuerungen auf der Hardware-Seite. So können seit Version 3.1/4.0 Android-Geräte auch USB Host für andere Android-Geräte sein. Dies war bei Vorversionen nicht möglich, erlaubt aber unter bestimmten Umständen Infektionen per USB von Android-Gerät zu Android-Gerät, um gezielte Angriffe gegen einzelne Personen durchzuführen.
Besonders brisant sind Szenarien, in denen sowohl der PC / Notebook als auch das Smartphone unter der Kontrolle derselben Schadsoftware stehen, die sich mit neuen Verfahren von PC zu Smartphone und von Smartphone zu PC verbreiten könnte. Somit ließe sich auch der bislang als sicher erachtete „Medienbruch“ zwischen PC und Mobiltelefon/Smartphone in Verfahren wie mTAN umgehen. Ein Angreifer könnte auf dem PC eine Überweisung anstoßen und auf dem Smartphone die empfangene SMS mit der zugehörigen TAN-Nummer abfangen. Darüber hinaus sind private Informationen wie gespeicherte Kreditkarten, Passwörter oder andere Zugangsdaten das Ziel von Cyber-Kriminellen. Sind Android-Geräte für den Zugang ins Firmennetz konfiguriert, so können Angreifer vom Gerät aus Rechner im Unternehmensnetz infizieren oder sensible Daten ausspähen.