Dipl.-Inform. Carsten Eilers

Im Bereich der Android-Sicherheit hat sich in den vergangenen 1 1/2 Jahren einiges getan, die Sicherheitsforscher waren fleißig. Android ist aber auch ein sehr dankbares Forschungsgebiet, da gibt es noch reichlich Neues zu entdecken.

Es gibt einige vielversprechende neue Tools, die sowohl Sicherheitsforschern als auch Entwicklern helfen können. Vor allem das Androbugs Framework und QARK können bei der Absicherung von Apps nützliche Hilfestellungen leisten. Und beide Tools wurden sogar veröffentlicht! Was für andere leider nicht gilt.

Was ich mich dann nur frage: Warum machen sich die Forscher die Mühe, ein Tool vorzustellen, wenn sie es dann nicht veröffentlichen? Weder kostenlos noch kommerziell? Dann hätten sie die für die Beschreibung des Tools verschwendete Vortragszeit auch dazu nutzen können, weitere mit dem Tool gefundene Schwachstellen vorzustellen. Oder Hinweise zur Beseitigung oder Verhinderung der Schwachstellen zu geben. Oder eben irgend etwas anderes nützliches zu tun. Aber so - also irgendwie hat das was von Kindergartenkindern im Sandkasten: "Guckt mal was für ein tolles Spielzeug ich hier habe - und ihr bekommt es nicht!"

Die neuen Schwachstellen sind teilweise unschön. Eine neue Möglichkeit für Rootkits braucht ja nun wirklich niemand (außer den Cyberkriminellen). Eben so wenig wie Möglichkeiten zum Ausspähen von Informationen, oder den ganzen Rest. Lediglich das Rooten der Geräte hat auch einen positiven Nebeneffekt, denn es gibt ja auch ein paar Leute, die die vollständige Kontrolle über ihr Android-Gerät haben möchten und nicht nur die, die ihnen Google zugesteht.

Dann hoffen wir mal, das alle Schwachstellen zügig behoben werden. Und falls Sie Entwickler sind: Prüfen Sie mal, ob Ihre Apps sicher sind. Zum Beispiel ob das Backup in der Manifest.xml verboten ist, wenn dabei sensible Daten im Backup landen könnten.

Übrigens gibt es auch eine neue Schutzmaßnahme:
Tim Xia und Yulong Zhang haben mit dem "Adaptive Android Kernel Live Patching" eine Möglichkeit vorgestellt, Kernel-Schwachstellen durch "Hotpatching", also das Patchen im laufenden Betrieb, zu beseitigen. Damit wäre es zum Beispiel möglich, Kernel-Schwachstellen in vom Hardwarehersteller nicht mehr unterstützten Geräten zu beheben. Und davon gibt es ja reichlich. Das nenne ich doch mal eine nützliche Entwicklung!

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Anestis Bechtsoudis; Hack in the Box Amsterdam 2015: "Fuzzing Objects d’ART: Digging Into the New Android L Runtime Internals"
• [2] Anestis Bechtsoudis; CENSUS: "Fuzzing Objects d’ART — Hack In The Box 2015 Amsterdam"
• [3] GitHub: google/honggfuzz: A general-purpose, easy-to-use fuzzer with interesting analysis options
• [4] Anestis Bechtsoudis; CENSUS: "The road to efficient Android fuzzing"
• [5] Guang Gong; Black Hat USA 2015: "Fuzzing Android System Services by Binder Call to Escalate Privilege"
• [6] Carsten Eilers: "Stagefright und Certifi-gate bei Android"; Mobile Technology 4.2015
• [7] CVE-2015-1528
• [8] GitHub: secmob/PoCForCVE-2015-1528
• [9] Qidan He; Black Hat Asia 2016: "Hey Your Parcel Looks Bad - Fuzzing and Exploiting Parcel-ization Vulnerabilities in Android"
• [10] Alexandru Blanda; Black Hat Europe 2015: "Fuzzing Android: A Recipe for Uncovering Vulnerabilities Inside System Components in Android" (Video auf YouTube)
• [11] GitHub: fuzzing/MFFA: Media Fuzzing Framework for Android
• [12] american fuzzy lop
• [13] Adrian Denkiewicz; Mailinglist afl-users: "AFL on Android"
• [14] Anto Joseph; Hack in the Box Amsterdam 2016: "HITB Lab: Droid-FF: The First Android Fuzzing Framework"
• [15] GitHub: antojoseph/droid-ff
• [16] Jin-hyuk Jung, Jieun Lee; Black Hat Asia 2015: "DABiD: The Powerful Interactive Android Debugger for Android Malware Analysis"
• [17] Yu-Cheng Lin; Black Hat Europe 2015: "AndroBugs Framework: An Android Application Security Vulnerability Scanner" (Video auf YouTube)
• [18] GitHub: AndroBugs/AndroBugs_Framework: AndroBugs Framework is an efficient Android vulnerability scanner that helps developers or hackers find potential security vulnerabilities in Android applications.
• [19] Tony Trummer; Hack in the Box Amsterdam 2015: "HITB LAB: Attacking Android Apps"
• [20] Tony Trummer, Tushar Dalvi; DEF CON 23: "QARK: Android App Exploit and SCA Tool" (Präsentation als PDF, Video auf YouTube, Video mit Untertiteln etc. auf defcon.org)
• [21] GitHub: linkedin/qark: Tool to look for several security related Android application vulnerabilities
• [22] Yeongung Park, Jun Young Choi; Black Hat USA 2015: "THIS IS DeepERENT: Tracking App Behaviors with (Nothing Changed) Phone for Evasive Android Malware" (Video auf YouTube)
• [23] Mustafa Saad; Black Hat Asia 2015: "Android Commercial Spyware Disease and Medication"
• [24] Paul Sabanal; Black Hat Asia 2015: "Hiding Behind Android Runtime (ART)"
• [25] Ryan Johnson, Angelos Stavrou; Black Hat Asia 2015: "Resurrecting the READ_LOGS Permission on Samsung Devices"
• [26] Yeongung Park; Black Hat Asia 2015: "We Can Still Crack You! General Unpacking Method for Android Packer (no root)"
• [27] Wen Xu; Black Hat USA 2015: "Ah! Universal Android Rooting is Back" (Video auf YouTube)
• [28] Di Shen; Black Hat USA 2015: "Attacking Your Trusted Core: Exploiting Trustzone on Android"
• [29] Guangdong Bai; Black Hat Europe 2015: "Authenticator Leakage through Backup Channels on Android" (Video auf YouTube)
• [30] Artem Chaykin; CanSecWest 2016: "Having fun with secure messengers and Android Wear" (PDF)
• [31] Guang Gong; CanSecWest 2016: "Pwn a Nexus device with a single vulnerability" (PDF)
• [32] Tim Xia, Yulong Zhang; Hack in the Box Amsterdam 2016: "Adaptive Android Kernel Live Patching"

Carsten Eilers