Über Samsungs Sicherheitslösung Knox, die eigentlich Android-Geräte vor unbefugten Zugriffen schützen soll, steckt eine Lücke, die ausgenutzt werden kann, um unbefugt auf damit betriebene Geräte zuzugreifen. Die Lücke wird von ihren Entdeckern von der Sicherheitsfirma Viral Security Group als KNOXout bezeichnet und hat die offizielle Kennung CVE-2016-6584. Sie wird als kritisch eingestuft,
Die israelischen Sicherheitsforscher verschafften sich bei ihren Tests “volle Kontrolle” über ein Samsung Galaxy S6 sowie ein Galaxy Note 5. Bevor sie einen Proof of Concept auf GitHub veröffentlichten, hatten sie Samsung informiert. Das Unternehmen behob die drei Schwachstellen, die sich zu der Sicherheitslücke summierten, Wired zufolge mit einem kürzlich ausgelieferten Sicherheits-Update.
Dem Bericht von Viral Security (PDF) zufolge konnten die Experten über einen Root-Exploit zunächst den Kernel angreifen. Samsung Knox bietet durch das RKP-Modul Schutzmechanismen, um das zu verhindern. Seit Knox 2.0 überwacht die TIMA Real-time Kernel Protection (RKP) das Betriebssystem von der ARM TrustZone aus, um zu verhindern, dass der Kernel manipuliert wird. RKP erfasst dazu sicherheitsrelevante Ereignisse im Kernel. Sie werden in der ARM TrustZone analysiert. Wird erkannt, dass ein Ereignis Auswirkungen auf die Integrität des Kernels hat, soll RKP es entweder stoppen oder ein Bestätigungsprotokoll über eine vorliegende Manipulation an das MDM (Mobile Device Management) senden.
Den israelischen Forschern gelang es jedoch unter Ausnutzung der schon länger bekannten Sicherheitslücke CVE-2015-1805, diesen Schutz zu umgehen. Sie konnten zunächst Code als System-User ausführen. Das erlaubt es beispielsweise schon, legitime Anwendungen durch manipulierte zu ersetzen, die ohne Wissen des Nutzers alle verfügbaren Rechte erhalten.
Darüber hinaus gelang es ihnen herauszufinden, welche Tests das RKP-Modul durchführt. Mit diesem Wissen konnten die Forscher RKP aushebeln und Root-Rechte erlangen. Durch die Abschaltung weiterer Kernel-Schutzmaßnahmen konnten sie schließlich ein eigenes, unsigniertes Kernel-Modul laden und erhielten eine beschreibbare Systempartition.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
