F

Mit virtuellem Patching Sicherheitslücken auf Android Smartphones schließen

Durch virtuelles Patching können Malware-Attacken auf Smartphones mit Android verhindert werden. Ein Versuch mit unkonventionellen Methoden

Kann man virtuelles Patching auch auf Mobilgeräten implementieren? Ich versuche unkonventionelle Methoden zum Schutz...

von Smartphones insbesondere unter Android einzusetzen, die sich nutzen lassen, bevor Betriebssystem-Patches aufgespielt werden können.

Bevor wir diese Frage beantworten, müssen wir uns ein wenig mit der etwas komplizierten Entstehungsgeschichte von Android als Plattform für Mobilgeräte beschäftigen. Entwickelt wurde Android von der von Google angeführten Open Handset Alliance, der Programmcode wurde von Google unter der Apache-Lizenz veröffentlicht. Wartung und Weiterentwicklung liegen jetzt in der Hand des Android Open Source Project (AOSP).

Leider hat die Beteiligung derart vieler Parteien an Entwicklung und Pflege zur Folge, dass der Patch-Prozess zum Risiko für Nutzer wird, die Android-Geräte verwenden. Hersteller von Android-Smartphones etwa müssen zunächst spezielle Builds der gepatchten aktuellen Android-Version mit der eigenen Zusatz-Software erstellen und dann testen, ob alles noch funktioniert. Als nächstes müssen die Netzbetreiber prüfen, ob die neue Firmware mit ihren Netzen zurechtkommt und umgekehrt.

Die lange und komplexe Lieferkette führt selbst bei den dringendsten Updates oft zu längeren Verzögerungen. So behob das Betriebssystem Android Froyo 2.2 bei seiner Veröffentlichung im Mai 2010 mehrere Sicherheitslücken. Es dauerte dann jedoch sieben Monate, bis Motorola und HTC entsprechende Updates für ihre Geräte herausbrachten, Samsung brauchte sogar noch länger. Aufgrund solcher Verzögerungen können Hacker die Fixes in Ruhe studieren und Exploits entwickeln, die bei noch ungepatchten Geräten funktionieren. Leider ist Android nicht einmal das einzige Betriebssystem, das mit diesem Problem zu kämpfen hat: Als eine Lücke in der Rendering-Engine WebKit HTML entdeckt wurde, die in den meisten Smartphone-Browsern verwendet wird, wurde der Chromium-Browser von Google rasch aktualisiert. Bis auch Apple die Browser seiner iOS-Geräte auf einen sichereren Stand gebracht hatte, dauerte es jedoch acht Monate.

In dieser Situation ist es verständlich, dass Organisationen die Möglichkeit für virtuelles Patching mobiler Geräte – insbesondere unter Android – gern nutzen würden. Eine verbreitete Methode dafür besteht darin, vor Desktops eine Art Proxy oder Intrusion Detection System zu platzieren, um fremdgesteuertes Fehlverhalten zu verhindern oder einzudämmen. Bei mobilen Geräten jedoch ist das keine echte Option, denn sie können sich auf zu vielfältige Weise mit dem Internet oder anderen Geräten verbinden.

Bei der zweiten Form von virtuellem Patching wird der Runtime-Code des Betriebssystems verändert. Dadurch kann es nicht nur zu neuen Risiken wie zum Beispiel Programmier-Fehlern kommen, sondern möglicherweise auch zu instabilen Geräten. Probleme gibt es sogar dann, wenn eine Organisation geschickte Programmierer beschäftigt, die den Linux-Kernel und Java gut genug verstehen, um neu entdeckte Risiken erfolgreich abzuwehren: Ihre Arbeit stellt eine Art „Jailbreak“ bei den Geräten dar, was gegen die Vertragsbedingungen des Netzbetreibers verstoßen kann.

Wenn eine Organisation trotzdem diesen Weg gehen will, sollte sie wissen, wie das AOSP Patches überprüft und bearbeitet. Mit einer kostenlosen Live-CD lässt sich Android dann auf einer Test-Maschine installieren, und die Android Compatibility Test Suite hilft Entwicklern dabei, sicherzustellen, dass ihre Software den gesamten Entwicklungsprozess über kompatibel bleibt.

Ohne Zweifel ist virtuelles Patching ein enorm wertvolles Verfahren, mit dem sich die Risiken verringern lassen, die durch längere Lücken in den Update-Zyklen der Geräte-Hersteller entstehen – insbesondere vor dem Hintergrund zunehmender Angriffe auf Android. Der Schutz von mobilen Geräten mit dieser Methode ist allerdings nicht leicht, insbesondere weil für Updates oft die gesamte Firmware der Nutzer-Geräte verändert und neu aufgespielt werden muss.

Artikel wurde zuletzt im Januar 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close