Über Samsungs Sicherheitslösung Knox, die eigentlich Android-Geräte vor unbefugten Zugriffen schützen soll, steckt eine Lücke, die ausgenutzt werden kann, um unbefugt auf damit betriebene Geräte zuzugreifen. Die Lücke wird von ihren Entdeckern von der Sicherheitsfirma Viral Security Group als KNOXout bezeichnet und hat die offizielle Kennung CVE-2016-6584. Sie wird als kritisch eingestuft,
Die israelischen Sicherheitsforscher verschafften sich bei ihren Tests “volle Kontrolle” über ein Samsung Galaxy S6 sowie ein Galaxy Note 5. Bevor sie einen Proof of Concept auf GitHub veröffentlichten, hatten sie Samsung informiert. Das Unternehmen behob die drei Schwachstellen, die sich zu der Sicherheitslücke summierten, Wired zufolge mit einem kürzlich ausgelieferten Sicherheits-Update.
Dem Bericht von Viral Security (PDF) zufolge konnten die Experten über einen Root-Exploit zunächst den Kernel angreifen. Samsung Knox bietet durch das RKP-Modul Schutzmechanismen, um das zu verhindern. Seit Knox 2.0 überwacht die TIMA Real-time Kernel Protection (RKP) das Betriebssystem von der ARM TrustZone aus, um zu verhindern, dass der Kernel manipuliert wird. RKP erfasst dazu sicherheitsrelevante Ereignisse im Kernel. Sie werden in der ARM TrustZone analysiert. Wird erkannt, dass ein Ereignis Auswirkungen auf die Integrität des Kernels hat, soll RKP es entweder stoppen oder ein Bestätigungsprotokoll über eine vorliegende Manipulation an das MDM (Mobile Device Management) senden.
Den israelischen Forschern gelang es jedoch unter Ausnutzung der schon länger bekannten Sicherheitslücke CVE-2015-1805, diesen Schutz zu umgehen. Sie konnten zunächst Code als System-User ausführen. Das erlaubt es beispielsweise schon, legitime Anwendungen durch manipulierte zu ersetzen, die ohne Wissen des Nutzers alle verfügbaren Rechte erhalten.
Darüber hinaus gelang es ihnen herauszufinden, welche Tests das RKP-Modul durchführt. Mit diesem Wissen konnten die Forscher RKP aushebeln und Root-Rechte erlangen. Durch die Abschaltung weiterer Kernel-Schutzmaßnahmen konnten sie schließlich ein eigenes, unsigniertes Kernel-Modul laden und erhielten eine beschreibbare Systempartition.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…
