Veröffentlicht am 18. März 2016
Android-Sicherheitswarnungen ergänzen die Nexus-Sicherheitsbulletins. Weitere Informationen zu Sicherheitshinweisen finden Sie auf unserer Zusammenfassungsseite.
Zusammenfassung
Google ist eine Rooting-Anwendung bekannt geworden, die eine nicht gepatchte lokale Sicherheitslücke zur Erhöhung der Berechtigungen im Kernel einiger Android-Geräte ausnutzt (CVE-2015-1805). Damit diese Anwendung auf ein Gerät wirkt, muss der Nutzer sie zuerst installieren. Google blockiert bereits die Installation von Rooting-Apps, die diese Sicherheitslücke nutzen – sowohl bei Google Play als auch außerhalb von Google Play – mithilfe von Verify Apps. Außerdem haben wir unsere Systeme aktualisiert, um Apps zu erkennen, die diese Sicherheitslücke nutzen.
Um dieses Problem endgültig zu beheben, haben wir am 16. März 2016 einen Patch für Partner veröffentlicht. Nexus-Updates werden derzeit erstellt und innerhalb weniger Tage veröffentlicht. Quellcode-Patches für dieses Problem wurden im AOSP-Repository (Android Open Source Project) veröffentlicht.
Hintergrund
Dies ist ein bekanntes Problem im Upstream-Linux-Kernel, das im April 2014 behoben wurde, aber erst am 2. Februar 2015 als Sicherheitsfix gekennzeichnet und CVE-2015-1805 zugewiesen wurde. Am 19. Februar 2016 informierte das C0RE-Team Google darüber, dass das Problem auf Android-Geräten ausgenutzt werden könnte. Es wurde ein Patch entwickelt, der in einem der nächsten regelmäßigen monatlichen Updates enthalten sein wird.
Am 15. März 2016 erhielt Google von Zimperium eine Meldung, dass diese Sicherheitslücke auf einem Nexus 5-Gerät ausgenutzt wurde. Google hat die Existenz einer öffentlich zugänglichen Rooting-Anwendung bestätigt, die diese Sicherheitslücke auf Nexus 5 und Nexus 6 ausnutzt, um dem Gerätenutzer Root-Berechtigungen zu gewähren.
Dieses Problem wird aufgrund der Möglichkeit einer lokalen Rechteausweitung und der Ausführung beliebigen Codes, die zu einer dauerhaften lokalen Gerätekompromittierung führen, als Wichtig eingestuft.
Umfang
Diese Warnung gilt für alle nicht gepatchten Android-Geräte mit den Kernelversionen 3.4, 3.10 und 3.14, einschließlich aller Nexus-Geräte. Android-Geräte mit Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.
Abhilfemaßnahmen
Mit den folgenden Maßnahmen lässt sich die Wahrscheinlichkeit verringern, dass Nutzer von diesem Problem betroffen sind:
- „Apps prüfen“ wurde aktualisiert, um die Installation von Apps zu blockieren, die diese Sicherheitslücke sowohl innerhalb als auch außerhalb von Google Play ausnutzen.
- Google Play erlaubt keine Root-Apps wie die, mit der dieses Problem ausgenutzt werden soll.
- Android-Geräte mit der Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.
Danksagungen
Das Android-Team bedankt sich beim C0RE-Team und bei Zimperium für ihren Beitrag zu dieser Sicherheitswarnung.
Vorgeschlagene Aktionen
Android empfiehlt allen Nutzern, Updates für ihre Geräte zu akzeptieren, sobald sie verfügbar sind.
Fehlerkorrekturen
Google hat im AOSP-Repository eine Korrektur für mehrere Kernelversionen veröffentlicht. Android-Partner wurden über diese Fehlerkorrekturen informiert und sollten sie anwenden. Falls weitere Updates erforderlich sind, veröffentlicht Android sie direkt in AOSP.
| Kernel-Version | Stelle |
|---|---|
| 3.4 | AOSP-Patch |
| 3.10 | AOSP-Patch |
| 3.14 | AOSP-Patch |
| 3.18 und höher | Im öffentlichen Linux-Kernel gepatcht |
Häufig gestellte Fragen und Antworten
1. Was ist das Problem?
Eine Sicherheitslücke zur Rechteausweitung im Kernel kann es einer schädlichen lokalen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
2. Wie würde ein Angreifer versuchen, dieses Problem auszunutzen?
Nutzer, die eine Anwendung installieren, mit der dieses Problem ausgenutzt werden soll, sind gefährdet. Rooting-Anwendungen wie die, die dieses Problem ausnutzt, sind bei Google Play verboten. Google blockiert die Installation dieser Anwendung außerhalb von Google Play über „Apps überprüfen“. Ein Angreifer müsste einen Nutzer dazu bringen, eine betroffene Anwendung manuell zu installieren.
3. Welche Geräte könnten betroffen sein?
Google hat bestätigt, dass dieser Exploit auf Nexus 5 und 6 funktioniert. Alle nicht gepatchten Android-Versionen enthalten jedoch die Sicherheitslücke.
4. Gibt es Hinweise darauf, dass diese Sicherheitslücke missbraucht wurde?
Ja, Google hat Hinweise darauf gefunden, dass diese Sicherheitslücke auf einem Nexus 5 mit einem öffentlich verfügbaren Rooting-Tool ausgenutzt wurde. Google hat keine Ausnutzung beobachtet, die als „böswillig“ eingestuft werden könnte.
5. Wie gehen Sie mit diesem Problem um?
Google Play verbietet Apps, die versuchen, dieses Problem auszunutzen. Außerdem blockiert die Funktion „Apps prüfen“ die Installation von Apps von Drittanbietern, die versuchen, dieses Problem auszunutzen. Google Nexus-Geräte werden ebenfalls gepatcht, sobald ein Update verfügbar ist. Wir haben Android-Partner benachrichtigt, damit sie ähnliche Updates veröffentlichen können.
6. Wie finde ich heraus, ob ich ein Gerät habe, auf dem dieses Problem behoben wurde?
Android bietet unseren Partnern zwei Möglichkeiten, zu kommunizieren, dass ihre Geräte nicht anfällig für dieses Problem sind. Android-Geräte mit einem Sicherheitspatch vom 18. März 2016 sind nicht anfällig. Android-Geräte mit einem Sicherheitspatch vom 2. April 2016 oder höher sind für dieses Problem nicht anfällig. Eine Anleitung zum Prüfen der Sicherheitspatch-Ebene finden Sie in diesem Artikel.
Überarbeitungen
- 18. März 2016: Veröffentlichung der Sicherheitswarnung