• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Liebe Meinungsforscher, Analysten und Korresponden ...

von Bernd Rubel

Next Story
Lohnt sich Amazon Prime? Das alles bietet euch das ...

von Carsten Drees

Android-Lücke Dirty Cow: Eine Kuh sie alle zu rooten

Ein einfach auszunutzender Fehler im Linux-Kernel seit der Version 2.6.22 sorgt dafür, dass jedes Android-Gerät ohne großen Aufwand zu rooten ist. Das freut manchen Anwender, für die meisten bedeutet das aber einfach nur eine erhebliche Sicherheitslücke.

von Carsten Dobschat am 9. November 2016
  • Email
  • @dobschat

Der Dirty Cow Fehler ist bereits seit der Kernel-Version 2.6.22 im Kernel enthalten und damit auch in jeder bisher veröffentlichten Android-Versionen, denn die erste Android-Version kam mit dem Kernel 2.6.25. Im Gegensatz zu verschiedenen Linux-Distributoren, die den Fehler bereits kurz nach Bekanntwerden gefixt hatten, hat Google im November-Update die Lücke noch nicht gestopft. Mindestens bis zum Update im nächsten Monat wird Android hier also angreifbar bleiben.

Es handelt  sich dabei um einen Fehler in der Kernel-Funktion Copy-on-Write (Cow), der es Prozessen mit normalen Rechten erlaubt, Speicherbereiche zu verändern, die eigentlich nur für Prozesse mit root-Rechten beschreibbar sein sollten. Werden diese veränderten Daten dann ausgeführt, kann man das System komplett übernehmen, eben rooten. Diese Beschreibung ist natürlich vereinfacht, wer sich für die genauen technischen Details interessiert, der wird schnell fündig und findet dann auch schnell einen fertigen Proof of Concept, der nur um einige Zeilen ergänzt werden muss, um ein Android-Gerät zu rooten.

Natürlich kann man das prima finden. Schließlich wollen nicht wenige User ihr Android-Gerät durch das Rooten möglicherweise von Beschränkungen befreien, aber so eine Sicherheitslücke lässt sich eben nicht nur vom Besitzer eines Gerätes nutzen, sondern auch von Dritten. Für Linux-Systeme soll es schon aktive Angriffe auf die Lücke geben (es haben hoffentlich alle ihre Linux-Systeme auf dem aktuellen Stand) und anhand des PoC ist es für jemanden mit den nötigen Kenntnissen keine große Sache mehr, eine entsprechende Angriffs-App für Android zu erstellen oder den notwendigen Code für den Angriff in eine bestehende App einzubauen.

Theoretisch wäre es auch möglich, entsprechende Apps in den Google Play Store zu bringen, die das Gerät ohne Wissen des Nutzers rooten und sich entsprechende Hintertüren einbauen. Zwar sind bislang keine solchen Fälle bekannt geworden, aber das ist natürlich keine Garantie dafür, dass es auch so bleibt. Umso unverständlicher ist es, dass Google diese Lücke nicht geschlossen hat, eine Lücke, für die es bereits kurz nach der Entdeckung einen Patch gab und die eben nicht harmlos ist.

Kleine Anekdote zur schmutzigen Kuh am Rande: Bereits vor 11 Jahre hatte Linus Torvalds versucht, den Bug zu fixen. Der Fix wurde aber kurz darauf wieder entfernt, weil es mit diesem andere Probleme gab und der Fehler damals offenbar für nicht so kritisch gehalten wurde. Elf Jahre – alleine damit dürfte die durchschnittliche Zeit zwischen Fehlerentdeckung und Fehlerbehebung bei Linux recht deutlich ansteigen.

via Golem

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing