Die TU Graz warnt, dass Android Kernels trotz Schutzmechanismen anfällig für Angriffe mit One-Day Exploits sind.Graz University of Technology warns that despite protections, Android kernels are vulnerable to attacks with one-day exploits.
Nicht so sicher wie gedacht: Smartphones sind für viele Menschen ständige Begleiter und wichtige Arbeitsmittel. Neben Kontakten, Terminen und E-Mails werden die Geräte zunehmend auch für sensible Aufgaben wie Online-Banking oder Behördengänge genutzt. Damit steigen auch die Anforderungen an die Sicherheit.

Wie Lukas Maar, Florian Draschbacher, Lukas Lamster und Stefan Mangard vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz in einer umfassenden Analyse der Android-Kernels der zehn größten und bekanntesten Smartphone-Hersteller herausgefunden haben, gibt es hier zahlreiche Schwachstellen, die One-Day-Exploits mit bereits bekannten Angriffsmethoden ermöglichen. Ihre Ergebnisse stellten die Forscherinnen und Forscher am 15. August auf dem Usenix Security Symposium in Philadelphia, USA, vor.

Je nach Hersteller und Modell konnten bei den 994 untersuchten Smartphones nur zwischen 29 und 55 Prozent der vom Forschungsteam getesteten Angriffe verhindert werden. Mit dem von Google bereitgestellten Generic Kernel Image (GKI) in der Version 6.1 konnten dagegen rund 85 Prozent der Angriffe abgewehrt werden.

Im Vergleich zum GKI schnitten die Kernel der Hersteller bei der Abwehr von Angriffen bis zu 4,6-mal schlechter ab. Das Forschungsteam untersuchte Geräte dieser Hersteller, die zwischen 2018 und 2023 auf den Markt gekommen sind (Auflistung vom sichersten zum unsichersten): Google, Realme, OnePlus, Xiaomi, Vivo, Samsung, Motorola, Huawei, Oppo und Fairphone.

Die auf diesen Smartphones verwendeten Android-Versionen reichten von Version 9 bis 14, die Kernel deckten den Bereich von Version 3.10 bis 6.1 ab, wobei Hersteller, die auf niedrigere Kernel-Versionen setzen, auch weniger Sicherheit bieten.

Wirksame Abwehrmechanismen selten aktiviert

Ein weiterer Kernpunkt der Analyse: Für eine Reihe bekannter Angriffsmethoden gibt es bereits wirksame Abwehrmaßnahmen, die aber in den Kerneln der Hersteller nur selten aktiviert oder falsch konfiguriert sind. Das führt dazu, dass selbst die Kernel-Version 3.1 aus dem Jahr 2014 mit allen aktivierten Sicherheitsmaßnahmen besser gegen bekannte Angriffe schützen könnte als rund 38 Prozent der von den Herstellern selbst konfigurierten Kernel.

Zudem stellten die Forscherinnen und Forscher fest, dass die Low-End-Modelle der Hersteller um rund 24 Prozent stärker gefährdet waren als die High-End-Modelle. Ein wichtiger Grund dafür ist der Leistungsverlust, den zusätzliche Sicherheitsmaßnahmen mit sich bringen, weshalb sie bei Low-End-Modellen oft deaktiviert bleiben, um Ressourcen zu sparen.

„Wir hoffen, dass unsere Ergebnisse dazu beitragen, dass in Zukunft effektivere Sicherheitsmaßnahmen in die Kernel der Hersteller eingebaut werden und Android dadurch sicherer wird“, sagt Lukas Maar. „Wir haben unsere Analyse auch mit den untersuchten Herstellern geteilt und Google, Fairphone, Motorola, Huawei und Samsung haben sie zur Kenntnis genommen – einige haben sogar Patches veröffentlicht. Wir haben Google auch vorgeschlagen, das Android Compatibility Definition Document (CDD) zu aktualisieren, in dem die Anforderungen für die Kompatibilität von Geräten mit Android festgelegt sind. Google selbst hat betont, dass sie sich des Problems bewusst sind und die Integration von Kernel-Sicherheitsmaßnahmen schrittweise verstärken wollen. Es hängt jedoch von den Herstellern ab, ob sie dafür Performance opfern wollen“.

Not as secure as expected: Smartphones are a constant companion and important work tool for many people. In addition to contacts, appointments and emails, smartphones are increasingly used for sensitive tasks such as online banking or dealing with the authorities. This increases the need for security.

As Lukas Maar, Florian Draschbacher, Lukas Lamster and Stefan Mangard from the Institute for Applied Information Processing and Communication Technology at Graz University of Technology have discovered in a comprehensive analysis of the Android kernels of the ten largest and best-known smartphone manufacturers, there are numerous vulnerabilities that can be exploited within a day using known attack methods. The researchers presented their findings on August 15 at the Usenix Security Symposium in Philadelphia, USA.

Of the 994 smartphones tested, only between 29 and 55 percent of the attacks could be prevented, depending on the manufacturer and model. In contrast, Google’s Generic Kernel Image (GKI) version 6.1 was able to block about 85 percent of the attacks.

Compared to the GKI, the vendor kernels were up to 4.6 times worse at blocking attacks. The research team looked at devices from these manufacturers that were released between 2018 and 2023 (listed from most secure to least secure): Google, Realme, OnePlus, Xiaomi, Vivo, Samsung, Motorola, Huawei, Oppo, and Fairphone.

The Android versions used on these smartphones ranged from version 9 to 14, and the kernels ranged from version 3.10 to 6.1, with manufacturers relying on lower kernel versions also offering less security.

Effective defenses rarely enabled

Another key finding of the analysis is that effective defenses already exist for a number of known attack vectors, but they are rarely enabled or configured incorrectly in the vendors‘ kernels. As a result, even the 2014 kernel version 3.1, with all security measures enabled, could provide better protection against known attacks than about 38 percent of the kernels configured by the vendors themselves.

The researchers also found that the vendors‘ low-end models were about 24% more vulnerable than the high-end models. A major reason for this is the loss of performance that additional security measures cause, so they are often disabled on low-end models to save resources.

„We hope that our findings will help to ensure that more effective security measures are built into manufacturers‘ kernels in the future, making Android more secure,“ says Lukas Maar. „We also shared our analysis with the manufacturers we studied, and Google, Fairphone, Motorola, Huawei and Samsung have taken note – some have even released patches. We also suggested that Google update the Android Compatibility Definition Document (CDD), which sets out the requirements for devices to be compatible with Android. Google itself has emphasized that they are aware of the problem and want to gradually strengthen the integration of security measures in the kernel. However, it is up to the manufacturers whether they want to sacrifice performance for the sake of security.“

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten.Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner