Fraunhofer AISEC entwickelt Framework zur Schwachstellenanalyse von Android

showimage Fraunhofer AISEC entwickelt Framework zur Schwachstellenanalyse von Android

Die Forscher des Fraunhofer AISEC haben die umfassende Analyse und das Framework in ihrem Report veröffentlicht.

Garching, 15.05.2012 – Die Forscher des Fraunhofer AISEC (<a href="http://www.aisec.fraunhofer.de)“>www.aisec.fraunhofer.de) haben ein automatisiertes Framework zur Schwachstellenanalyse von Geräten, die auf dem Betriebssystem Android basieren, entwickelt. Damit lassen sich Sicherheitslücken des Systems identifizieren, Gefahren für Nutzer rechtzeitig erkennen und Abwehrmechanismen entwickeln. Das Test-Framework der IT-Sicherheitsexperten aus Garching bei München richtet sich an Unternehmen, die Android-Geräte in ihre Unternehmensnetze einbinden und verwalten. Damit können die IT-Verantwortlichen der Unternehmen die eingesetzten Android-Geräte auf aktuelle Schwachstellen testen und die Gefahren für die Unternehmens-IT abschätzen. Durch die zunehmende Nutzung von Android-Geräten im Unternehmensumfeld werden Werkzeuge und Methoden benötigt, um die Geräte auf Schwachstellen zu prüfen. Das Framework von AISEC ist einfach erweiterbar, so dass auch zukünftige Schwachstellen analysiert werden können.

Die starke Verbreitung von Android-Geräten im Unternehmensumfeld sowie die steigende Anzahl an Anwendungen (Apps) stellt zunehmend eine Gefahr für die Unternehmens-IT dar. „Problematisch sind Geräte, die von den Mitarbeitern auch privat genutzt werden – Stichwort „Bring Your Own Device““, so Dr. Volker Fusenig, Experte für Netzsicherheit und die Abwehr von Schadsoftware beim Fraunhofer AISEC. „Werden dann auch noch Apps von nichtoffiziellen App-Markets geladen, wird die Herausforderung für die IT-Administratoren im Unternehmen gigantisch“, so Fusenig weiter. Er ist einer der Autoren des AISEC Technical Reports mit dem Titel „Android OS Security: Risks and Limitations. A Practical Evaluation“. Der Report erläutert die praktische Umsetzung des Frameworks und diskutiert aktuelle Bedrohungsszenarien. Unter bit.ly/AISEC-Android-Report steht er zum kostenlosen Download bereit. Das Fraunhofer AISEC gehört zu den führenden Forschungseinrichtungen für angewandte IT-Sicherheit. Der Forschungsbereich „Netzsicherheit und Frühwarnsysteme“ beschäftigt sich mit der Absicherung von Kommunikationsnetzen sowie der Entwicklung von intelligenten Systemen zur Erkennung von Schadsoftware.

Android Test Framework

Das Framework von Fraunhofer AISEC ermöglicht die Analyse von Sicherheitslücken in Android. Vor allem verweisen die Forscher auf eine bekannte systembedingte Schwachstelle, die es einem Angreifer besonders leicht machen kann: Denn zusätzlich zur Ausführung von Apps, die in Java geschrieben sind und durch eine Sandbox geschützt sind, bietet Android die Möglichkeit an, Programmteile in nativem C-Code auszuführen. Diese Möglichkeit steht bisher unter keiner eindeutigen Kontrolle. Bösartige Apps könnten durch Exploits, die in nativem Code geschrieben sind, die Schutzmechanismen der Sandbox umgehen und so beispielsweise auf private Daten zugreifen.

Um das Android-System automatisiert auf bekannte Schwachstellen zu prüfen, integriert das Framework derzeit verfügbare Exploits. Zudem kann es sehr einfach erweitert werden, sobald neue Exploits bekannt werden. „Das Android-Betriebssystem ist von Haus aus eigentlich gut abgesichert. Trotz der Möglichkeit der Ausführung des nativen Codes müssten für einen erfolgreichen Angriff weitere Sicherheitslücken im Betriebssystem existieren. Deshalb raten wir zu regelmäßigen System-Updates, die solche Lücken schließen sollen“, so Dr. Volker Fusenig. „Das Problem besteht jedoch darin, dass ein Großteil der älteren Geräte nicht mehr mit Updates versorgt wird. Nur ein geringer Anteil (ca. 5 Prozent) der Geräte läuft auf der aktuellsten Android-Version 4.0.“ Das Framework bietet sowohl Privatanwendern als auch Firmen eine Möglichkeit, ihre Android-Geräte, Smartphones bzw. Tablets, untersuchen zu lassen.

Neue Bedrohungsszenarien

Bei der ganzheitlichen Sicherheitsanalyse des Betriebssystems Android haben die IT-Sicherheitsexperten am Fraunhofer AISEC auch neue Bedrohungsszenarien betrachtet. Ein neues Bedrohungsszenario ergibt sich aus Updates des Betriebssystems sowie den damit verbunden technischen Neuerungen auf der Hardware-Seite. So können seit Version 3.1/4.0 Android-Geräte auch USB Host für andere Android-Geräte sein. Dies war bei Vorversionen nicht möglich, erlaubt aber unter bestimmten Umständen Infektionen per USB von Android-Gerät zu Android-Gerät, um gezielte Angriffe gegen einzelne Personen durchzuführen.

Besonders brisant sind Szenarien, in denen sowohl der PC / Notebook als auch das Smartphone unter der Kontrolle derselben Schadsoftware stehen, die sich mit neuen Verfahren von PC zu Smartphone und von Smartphone zu PC verbreiten könnte. Somit ließe sich auch der bislang als sicher erachtete „Medienbruch“ zwischen PC und Mobiltelefon/Smartphone in Verfahren wie mTAN umgehen. Ein Angreifer könnte auf dem PC eine Überweisung anstoßen und auf dem Smartphone die empfangene SMS mit der zugehörigen TAN-Nummer abfangen. Darüber hinaus sind private Informationen wie gespeicherte Kreditkarten, Passwörter oder andere Zugangsdaten das Ziel von Cyber-Kriminellen. Sind Android-Geräte für den Zugang ins Firmennetz konfiguriert, so können Angreifer vom Gerät aus Rechner im Unternehmensnetz infizieren oder sensible Daten ausspähen.

Fraunhofer AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich IT-Sicherheit. Mehr als 80 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded Security, über Automotive, Network und Smart Grid Security bis hin zum Schutz vor Produktpiraterie sowie die Absicherung von Cloud-Diensten. Zudem bietet Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten.
Zu den Kunden von Fraunhofer AISEC gehören Hersteller, Zulieferer und Anwender aus den Bereichen der Chipkartensysteme (u.a. Infineon Technologies, Giesecke & Devrient), Telekommunikation (u.a. Deutsche Telekom), dem Automobilbau (u.a. BMW) und deren Zulieferindustrie sowie Logistik und Luftfahrt, Maschinenbau und Automatisierungstechnik, dem Gesundheitswesen, der Software-Industrie wie auch dem öffentlichen Sektor. Weitere Informationen unter http://www.aisec.fraunhofer.de

Kontakt:
Fraunhofer AISEC
Viktor Deleski
Parkring 4
85748 Garching
viktor.deleski@aisec.fraunhofer.de
0893229986-169
http://www.aisec.fraunhofer.de