Samsungs Sicherheitsplattform KNOX für Android ausgeknockt

Samsung Knox (Bild: ZDNet.de)

Samsung hat es aktuell wahrlich nicht leicht. Nun haben Forscher von Viral Security eine Sicherheitslücke ausgerechnet bei Knox entdeckt. Das ist Samsungs Sicherheitssoftware für Android, mit der Daten von Geräten eigentlich geschützt werden sollten.

Die Forscher melden mit CVE-2016-6584 eine Sicherheitslücke in der Sicherheitserweiterung Knox. Sie nennen die passenderweise KNOXout.

Die drei entdeckten Schwachstellen erlauben allesamt erhöhte Berechtigungen und wurden vor der Veröffentlichung gegenüber Samsung enthüllt. Bei ihren Tests erhielten die israelischen Sicherheitsforscher „volle Kontrolle“ über ein Samsung Galaxy S6 sowie ein Galaxy Note 5. Einen Proof of Concept veröffentlichten sie auf GitHub. Laut Wired hat der Hersteller die Schwachstellen bei einem kürzlichen Sicherheitupdate behoben.

Ein Whitepaper (PDF) von Viral Security führt dazu zunächst aus, wie ein üblicher Root-Exploit den Kernel untergräbt. Samsung Knox verfügt durch das RKP-Modul über Schutzmechanismen, um das zu verhindern. Seit Knox 2.0 überwacht die TIMA Real-time Kernel Protection (RKP) in Echtzeit das Betriebssystem von der TrustZone aus, um zu verhindern, dass der Kernel manipuliert wird. RKP erfasst kritische Ereignisse im Kernel, die in der ARM TrustZone analysiert werden. Wird ermittelt, dass ein Ereignis Auswirkungen auf die Integrität des Kernels des Betriebssystems hat, sollte RKP entweder das Ereignis stoppen oder ein Bestätigungsprotokoll über eine vorliegende Manipulation an das MDM (Mobile Device Management) senden.

Den israelischen Forschern gelang es jedoch unter Ausnutzung der schon zuvor bekannten Sicherheitslücke CVE-2015-1805, diesen Schutz vor bösartigen Veränderungen und Einfügungen in den Kernel-Code zu umgehen. Zunächst konnten sie Code als System-User ausführen. Das könnte beispielsweise schon erlauben, legitime Anwendungen durch bösartige zu ersetzen, die ohne Wissen des Nutzers alle verfügbaren Rechte erhalten.

Darüber hinaus gelang es, die vom RKP-Modul durchgeführten Tests zu identifizieren, die eine Erhöhung von Benutzerrechten verhindern sollen. Mit diesem Wissen konnten die Forscher schließlich RKP aushebeln und Root-Rechte erlangen. Durch die Abschaltung weiterer Kernel-Schutzmaßnahmen konnten sie schließlich ein eigenes unsigniertes Kernel-Modul laden und erhielten eine beschreibbare Systempartition.

Samsung empfiehlt allen Kunden, ihre Software und Apps stets aktuell zu halten. Ältere Geräte bleiben jedoch gefährdet. Auch bei neuen Android-Smartphones stehen meist nur für Flaggschiff-Modelle regelmäßige Sicherheitsupdates bereit.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising