Android-Unsicherheit und Herstellerhaftung: Ursachen und Maßnahmen

  • OEM-Ebenen sind aufgrund übermäßiger Berechtigungen und schlecht konzipierter System-Apps für einen großen Teil der Schwachstellen verantwortlich.
  • Android Enterprise und integrierte Sicherheit (Verschlüsselung, Play Protect, CDD/CTS) reduzieren das Risiko, wenn Richtlinien und MDM angewendet werden.
  • Updates: Zwei monatliche Patch-Levels und ungleichmäßige Bereitstellung; es ist wichtig, sie zu installieren, sobald sie verfügbar sind.
  • Fälle aus der Praxis (APEX, vorinstallierte Malware) zeigen, dass umsichtige Einkäufe und verstärkte Kontrollen erforderlich sind.
José M. LópezAktualisiert am

8 Minuten

Android-Unsicherheit und Herstellerverantwortung

Die Offenheit von Android ermöglicht es unter anderem verschiedenen Herstellern, Ihre eigene Anpassungsebene auf Googles mobilem Betriebssystem, um sich für den Endverbraucher von der Konkurrenz abzuheben. Auf der anderen Seite Unsicherheit in Android Es handelt sich um eine der vermeintlichen Achillesfersen, mit denen Android immer wieder zu kämpfen hat. Eine Schwäche, bei der laut einer kürzlich veröffentlichten Studie die von den Herstellern selbst vorgenommenen Anpassungen eine erhebliche Rolle spielen könnten.

Die oben genannte Studie wurde von einem Forscherteam der North Carolina State University durchgeführt und es wurde festgestellt, dass die von den verschiedenen Herstellern an der Version vorgenommenen Änderungen -bestands- Android könnte verantwortlich sein für mehr als 60 Prozent der Sicherheitsprobleme In den analysierten Smartphones – die zu unterschiedlichen Betreibern gehören – wurden folgende Fehler entdeckt:

Android-Unsicherheit und Markenhaftungsanteil

Einige Handyhersteller nehmen die Android-Sicherheit nicht "sehr ernst"

Einer der Autoren der Studie, dessen Arbeit sich auf die Erforschung von Malware auf mobilen Geräten konzentriert, Xuxian Jiang, außerordentlicher Professor für Informatik an der oben genannten amerikanischen Universität, hat seine Überraschung darüber zum Ausdruck gebracht, „Unsicherheit im Allgemeinen“ in den analysierten Terminals festgestellt. Ebenso erklärte er, dass der ständige Druck auf die Hersteller, neue Modelle mit mehr und besseren Funktionen und Innovationen auf den Markt zu bringen, die Ursache für Einige Marken nehmen die Android-Sicherheit nicht "sehr ernst".

Die Forscher haben ihre Studie anhand von 10 Smartphones durchgeführt, die mit verschiedenen Versionen von ausgestattet sind Android. Darunter sind Modelle von Samsung, HTC, LG y Sony; darunter sind die beliebten Samsung Galaxy S3 o HTC One X und zu denen auch die hinzugefügt werden Nexus S y Nexus 4 - Hergestellt von Samsung y LG, bzw. - die hauptsächlich als Referenzrahmen dienten, indem sie Versionen hatten -bestands- des mobilen Betriebssystems Google.

Die Methodik der Android-Sicherheitsstudie

Für ihre Studie haben Forscher der North Carolina State University die Anwendungen, die sie auf verschiedenen Smartphones gefunden haben, in drei Kategorien unterteilt: diejenigen, die zu Android, solche, die von Herstellern erstellt oder angepasst wurden, und solche, die von Dritten entwickelt wurden. Nach der Analyse der Daten und Merkmale der Bewerbungen haben die Studienverantwortlichen festgestellt, dass 86 Prozent der vorinstallierten Apps Auf Smartphones verlangen sie mehr Berechtigungen als nötig, und die überwiegende Mehrheit von ihnen wurde von den Herstellern in ihren Android-Anpassungsprozess integriert. Da es sich um in das Betriebssystem integrierte Anwendungen handelt, haben die von verschiedenen Herstellern implementierten größere Berechtigungen als die von externen Programmierern entwickelten; um zu erfahren, wie man sie verwaltet, konsultieren Sie wie wir die Sicherheit unseres Android verbessern können.

In Bezug auf spezifische Daten hat die Studie festgestellt, dass zwischen 65 und 85 Prozent der 177 Schwachstellen auf Smartphones erkannt Samsung LG y HTC entstanden aus den Anpassungen des Herstellers, während 38 Prozent der 16 Sicherheitsprobleme, die in den Geräten gefunden wurden Sony sie kamen aus derselben Quelle.

Zur Verteidigung der Hersteller erklärte Mark Rogers, einer der führenden Forscher des Mobile-Security-Software-Unternehmens Lookout, dass das Problem der Anwendungen mit mehr Berechtigungen als nötig Es handelt sich um ein allgemeines Problem unter App-Entwicklern und nicht um ein spezifisches Problem einzelner Hersteller. Er erklärte dazu: „Es gibt ziemlich viele Apps, die dieses Problem haben. Es entsteht, wenn der Entwickler möglichst viele Berechtigungen anfordert“, obwohl er diese gar nicht benötigt.

Android-Unsicherheit und Markenhaftungsanteil

Integrierte Sicherheit und Android Enterprise: So werden Risiken gemindert

Android Enterprise-Sicherheit und OEM-Ebenen

Android hat seine Basis gestärkt mit dateibasierte Verschlüsselung, Isolation pro Benutzer und Backup-SchutzHinzu kommen die Google-Dienste wie Play Protect, das Apps auf Malware scannt, und die Vorabprüfung von Apps auf Google Play zur Reduzierung von Malware. Darüber hinaus verlangt das Kompatibilitätsprogramm (AOSP, CDD und CTS) von OEMs die Einhaltung Sicherheitsanforderungen Mindestanforderungen für die Zertifizierung von Geräten.

Im Unternehmens- und im Geschäftsumfeld, Android Enterprise fügt Kontrollen hinzu, die persönliche und geschäftliche Daten trennen, mit dem Berufsbild, stärkt die Verschlüsselung und ermöglicht der IT die Durchsetzung von Compliance-Richtlinien. EMM/MDMs von Drittanbietern können Politik (Passwörter, Funktionssperren, Dokumentbeschränkungen), Anwendungsverwaltung (White-/Blacklists und Remote-Updates), Kiosk-Modus die Nutzung auf autorisierte Apps zu beschränken und Fernlöschen oder Sperren bei Verlust oder Diebstahl.

Es härtet auch die Netzwerkzugang: Verwendung von TLS, Privates DNS um Leckagen zu verhindern, WPA3-Enterprise über WLAN und VPN-Sperrmodus um Datenverkehr außerhalb des Unternehmenstunnels zu verhindern. Dies reduziert die Auswirkungen übermäßiger Berechtigungen oder schlecht implementierter OEM-Ebenen.

Billiggeräte: Vorinstallierte Malware, Betrug und irreführende Hardware

Sehr billige oder generische Geräte können mit vorinstallierte Schadsoftware auf Firmware-Ebene, schwer zu erkennen und fast unmöglich zu entfernen (zum Beispiel Grundlegende Sicherheitslücke im Browser). Diese Infektionen ermöglichen breiter Zugang zum System, stille App-Installation, Datendiebstahl und Persistenz nach dem Zurücksetzen. Kampagnen wie die im Zusammenhang mit Triada, Guerilla oder Werbebetrugsnetzwerke haben gezeigt, dass das Geschäft hinter diesen Geräten darin besteht, den Benutzer zum Schweigen zu bringen, seine Daten zu Geld zu machen und sein Erlebnis zu verschlechtern.

  • Werbebetrug: Anzeigen im Hintergrund öffnen und Module installieren, die Interaktionen simulieren, was Langsamkeit und Verbrauch von Ressourcen.
  • Daten- und Kontodiebstahl: Abfangen von Passwörtern, Authentifizierungscodes und Geolocation, für Kampagnen oder Verbrechen wiederverwendet.
  • Undercover-Proxys: Aktivierung eines Proxy-Servers zum Verbergen von Aktivitäten Dritter, mit mögliche Verstopfungen Netzwerk.
  • Massenerstellung von Konten: Melden Sie sich für Kurier- oder Postdienste an für Spam versenden und das Risiko von Sanktionen.

Darüber hinaus verfügen einige Modelle über gefälschte Spezifikationen oder schlechte Designs (z. B. 4 GB RAM versprechen, wenn nur 2 GB vorhanden sind), was die Unsicherheit verstärkt, indem Updates oder die Ausführung moderner Schutzmaßnahmen verhindert werden.

So kaufen Sie mit Bedacht: Wählen Sie Marken mit anhaltende Präsenz in mehreren Ländern; überprüfen Sie die Support-Bereich und ob sie herunterladbare Firmware anbieten; lesen Sie technische Meinungen in Foren; prüfen Sie im Geschäft, ob es sie gibt Update-Einstellungen und die Android-Version; seien Sie vorsichtig bei Preisen, die nur einen Bruchteil der Preise vergleichbarer Modelle betragen; wenn Sie Ihr neues Gerät bekommen, Aktuelles das System und deaktivieren Sie Bloatware mit missbräuchlichen Berechtigungen; wenn es Apps unterstützt, installieren Sie eine Sicherheitsschutz zuverlässig.

Updates, Patches und Herstellerpflichten

Android-Sicherheitspatches und Hersteller

Einer der Schwachpunkte in der Geschichte war die ungleichmäßige Verteilung der Patches von OEMs. Initiativen wie Projekt Treble Die Trennung von Schichten und die Beschleunigung von Integrationen wurden vereinfacht, und Vereinbarungen mit Herstellern haben die periodische Lieferung Sicherheitsupdates. Der Rollout erfolgt jedoch nicht einheitlich: Pixel Sie aktualisieren normalerweise früher, während andere OEMs Zeit brauchen, um die Firmware anzupassen und freizugeben.

Android veröffentlicht regelmäßig zwei Patch-Level jeden Monat (der erste und fünfte). Der zweite enthält in der Regel zusätzliche Komponenten-Fixes. Diese System-Patches kommen nicht durch Google Play, daher hängt die Geschwindigkeit von jedem Hersteller ab. Parallel dazu erscheinen sie Zero-Day-Angriffe in Komponenten wie Grafiktreibern oder dem Kernel, mit Exploit-Ketten, die es ermöglichen Rechteausweitung oder Zugriff auf Informationen ohne Benutzerinteraktion; deshalb ist es wichtig, zu installieren alle Updates sobald sie verfügbar sind.

APEX-Module und Testschlüssel: Eine Fallstudie zum Risiko

Ein aktuelles Beispiel war eine Schwachstelle im Management von APEX-Module (aktualisierbare Einheiten des privilegierten Systemcodes). Einige Marken signierten Module mit Öffentliche AOSP-Testschlüssel, die es einem Angreifer ermöglichen könnte, ein Modul durch ein gefälschtes zu ersetzen und Code mit bestimmten Berechtigungen auszuführen. Forscher führten das Problem auf unsichere Standardeinstellungen und unzureichende Dokumentation in der AOSP-Konfiguration und nicht auf spezifische Fahrlässigkeit zurückzuführen.

Potenziell betroffene Geräte enthaltene Modelle wie:

  • ASUS Zenfone 9
  • Vivo X90 Pro
  • Nokia G50
  • Microsoft Surface Duo 2
  • Lenovo Tab M10 Plus
  • Nichts Telefon (2)
  • Fairphone 5

Die Ausbeutung ist nicht trivial, und die Hersteller korrigierende Patches (Testschlüssel durch gültige ersetzen und Module aktualisieren). Wenn Sie eines dieser Geräte besitzen, ist es ratsam, die Dezember Sicherheitspatch und später.

Gute Praktiken für Benutzer und Unternehmen

Für Benutzer: Aktivieren Sie die Verschlüsselung, verwenden Sie biometrische Sperren und sichere Passwörter, Aktualisierungen pro Tag, beschäftigt Privates DNS, verbinden Sie sich mit WPA3 Seien Sie nach Möglichkeit vorsichtig bei APKs außerhalb von Google Play, überprüfen Sie Genehmigungen von Apps und erwägen eine Lösung von mobile Sicherheit Vertrauen.

Für Unternehmen: Bereitstellung Android Enterprise mit einem Arbeitsprofil oder Unternehmenseigentum, erlegt MDM-Richtlinien (Passwörter, Verschlüsselung, USB-Sperre, Whitelisting), ermöglicht VPN mit Sperrung und Zertifikate, gilt Kiosk gegebenenfalls und verwenden Telemetrie um anomales Verhalten zu erkennen. Definiert Prozesse von Vorfallsantwort mit Remote-Löschung, Schlüsselrotation und Neubereitstellung.

Das Android-Ökosystem vereint eine solide Grundlage mit Risiken, die sich aus OEM-Ebenen, Patch-Verzögerungen und unsicheren Geräten ergeben. Das Verständnis der Schwachstellen und die Anwendung von Android Enterprise-Tools zusammen mit MDM-Richtlinien und umsichtigen Kauf- und Nutzungsgewohnheiten machen den Unterschied zwischen einer großen Angriffsfläche und einer mobilen Umgebung aus. wirklich geschützt.

Verwandte Artikel:
Face Unlock auf Android: Echte Unsicherheit, Tests, Zahlungen und sichere Alternativen