Suchen

Fraunhofer AISEC entwickelt Exploit Framework für Android Schwachstellen-Analyse auf Android-Geräten

| Redakteur: Stephan Augsten

Firmen könnten durch die Netzwerk-Integration von Android-Geräten profitieren, wären da nicht einige konzeptionelle Sicherheitsrisiken. Die Fraunhofer-Einrichtung AISEC hat deshalb ein automatisiertes Framework zur Schwachstellen-Analyse von Android entwickelt.

Firma zum Thema

Ein neues Framework prüft die Sicherheit von Android-Geräten automatisiert auf Herz und Nieren.
Ein neues Framework prüft die Sicherheit von Android-Geräten automatisiert auf Herz und Nieren.
(Fraunhofer AISEC)

Mit Android OS hat Google ein mobiles Betriebssystem entwickelt, das durch Performance und Anpassbarkeit besticht. Doch aufgrund der Möglichkeit unabhängiger App-Installation und anderer System-bedingter Unzulänglichkeiten birgt die Plattform zwangsläufig einige Sicherheitslücken.

Will ein Unternehmen die Integration mobiler Geräte in die IT vorantreiben, kommt es um das populäre Android OS jedoch kaum herum. „Problematisch sind Geräte, die von den Mitarbeitern auch privat genutzt werden – Stichwort ‚Bring Your Own Device‘“, so Dr. Volker Fusenig, Experte für Netzsicherheit und Malware bei der Fraunhofer-Einrichtung für angewandte und integrierte Sicherheit (AISEC).

Forscher des Fraunhofer AISEC haben deshalb ein automatisiertes Framework zur Schwachstellenanalyse für Unternehmen entwickelt, die Android-Geräte in ihre Netze einbinden und verwalten möchten. Das Framework nutzt für seine Tests bekannte, aktuelle Exploits und lässt sich nachträglich um neuen Angriffscode erweitern.

Android und die Update-Problematik

Als Beispiel für eine konzeptionelle Schwachstelle verweisen die Forscher auf die Möglichkeit, dass eine App durch eingebundenen C-Code aus ihrer Sandbox-Umgebung ausbrechen kann. Das allein stellt aber noch kein Problem dar, wie Dr. Fusening unterstreicht: „Das Android-Betriebssystem ist von Haus aus gut abgesichert. […] für einen erfolgreichen Angriff [müssten] weitere Sicherheitslücken im Betriebssystem existieren.“

Regelmäßige System-Updates könnten Abhilfe schaffen, wäre da nicht das Problem der Plattform-Fragmentierung. Ein Großteil der älteren Geräte wird nicht mehr mit Updates versorgt, moniert Dr. Fusening. „Nur ein geringer Anteil – etwa fünf Prozent – der Geräte läuft auf der aktuellsten Android-Version 4.0.“

Weitere Risiko-Szenarien ergeben sich laut Fraunhofer AISEC durch OS-Updates sowie den damit verbunden technischen Neuerungen auf Hardware-Seite. Vor allem weiterentwickelte Schnittstellen zu anderen Android-Geräten oder Rechnern bergen hier das Risiko, dass sich Malware im Netzwerk verbreitet und sensible Daten ausspäht.

Weitere Bedrohungen nennt Fraunhofer AISEC Im Techreport „Android OS Security: Risks and Limitations“. Das Test-Framework wird in Verbindung mit einer Beratungsdienstleistung angeboten. Die Malware-Spezialisten beim AISEC führen eine individuelle Analyse durch und erarbeiten Lösungsvorschläge.

(ID:33781270)