Android 4.3 Jelly Bean und frühere Versionen leiden unter einer schweren Code-Ausführungsanfälligkeit

Wahrscheinlich, wenn Sie kein Top-Flaggschiff-Android-Smartphone oder -Tablet eines Top-Unternehmens wie Google Motorola, Samsung, HTC oder LG verwenden, dann verwenden Sie ein Smartphone mit der Android 4.3 Jelly Bean-Version. Und wenn Sie ein Smartphone oder Tablet mit Android 4.3 Jelly Bean oder einer früheren Version verwenden, sind Sie, oder besser gesagt Ihr Smartphone/Tablet, anfällig für eine schwere Code-Ausführungsanfälligkeit. Diese Anfälligkeit wurde vor neun Monaten vom Application Security Team von IBM entdeckt. Diese Anfälligkeit wurde in der neuesten Android-Version von Google, der 4.4 KitKat-Version, gepatcht, aber Android 4.3 und ältere Android-Versionen bleiben hochgradig anfällig.

Laut den neuesten verfügbaren Daten haben nur 13,6 % der gesamten Android-Nutzer KitKat auf ihrem Smartphone oder Tablet. Das bedeutet, dass etwa 86,4 % der Android-Smartphones und -Tablets anfällig für diese hochriskante Anfälligkeit sind.

• Die Sicherheitsforscher von IBM entdeckten, dass die Anfälligkeit des Stack-Buffer-Überlaufs im Android KeyStore-Speicherdienst liegt, der für die Speicherung und Sicherung der kryptografischen Schlüssel des Geräts verantwortlich ist.

„Ein Stack-Puffer wird durch die Methode ‘KeyStore::getKeyForName’ erstellt. Diese Funktion hat mehrere Aufrufer, die von externen Anwendungen über die Binder-Schnittstelle (z. B. ‘android::KeyStoreProxy::get’) zugänglich sind. Daher kann die Variable ‘keyName’ von einer böswilligen Anwendung mit beliebiger Größe kontrolliert werden“, sagte Hay. „Die Routine ‘encode_key’, die von ‘encode_key_for_uid’ aufgerufen wird, kann den Puffer ‘filename’ überlaufen, da die Grenzkontrolle fehlt“, erklärten die Experten.

Jeder, der Kenntnisse in der Android-API-Programmierung hat, kann diese Anfälligkeit erfolgreich ausnutzen. Einmal ausgenutzt, kann der Hacker bösartigen Code unter dem KeyStore-Prozess ausführen. Einmal ausgeführt, kann solcher Code zu einem ernsthaften Leck der Sperr-Anmeldeinformationen des Geräts führen. Da der Master-Schlüssel aus den Sperr-Anmeldeinformationen abgeleitet wird, wird jedes Mal, wenn das Gerät entsperrt wird, ‘Android::KeyStoreProxy::password’ mit den Anmeldeinformationen aufgerufen.

Es kann auch entschlüsselte Master-Schlüssel, Daten und hardwaregestützte Schlüssel-Identifikatoren aus dem Speicher und verschlüsselte Master-Schlüssel, Daten und hardwaregestützte Schlüssel-Identifikatoren von der Festplatte für einen Offline-Angriff leaken. Die Hacker können auch remote mit dem hardwaregestützten Speicher interagieren und Krypto-Operationen (z. B. beliebige Datenunterzeichnung) im Namen des Benutzers durchführen.

• Ein potenzieller angehender Hacker kann theoretisch die oben genannte Anfälligkeit ausnutzen, die in allen Android-Geräten vor Android 4.4 KitKat existiert, aber Experten glauben, dass der Exploit aufgrund der zahlreichen Schwierigkeiten, wie der Notwendigkeit, speicherbasierte Schutzmaßnahmen des Betriebssystems zu umgehen, einschließlich Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR), ziemlich schwer auszuführen ist. Die Data Execution Prevention ist eine Exploit-Minderung, die verwendet wird, um die Ausführung von bösartigem Code zu verhindern, aber die Angreifer hatten Erfolg, sie mit Return Oriented Programming (ROP)-Angriffen zu umgehen. Die ASLR wird verwendet, um Buffer-Overflow-Angriffe zu mindern, indem die Speicherorte, die von Systemdateien und anderen Programmen verwendet werden, randomisiert werden. Durch die Implementierung dieser Technik ist es schwer, den Standort eines bestimmten Prozesses zu erraten.

• „Allerdings wird der Android KeyStore jedes Mal neu gestartet, wenn er beendet wird. Dieses Verhalten ermöglicht einen probabilistischen Ansatz; darüber hinaus kann der Angreifer theoretisch ASLR missbrauchen, um die Kodierung zu überwinden“, heißt es in dem Beitrag.

• Die Experten bestätigten, dass sie den Fehler bisher nicht in der Wildnis ausgenutzt gesehen haben.