Kaum ein anderes Stück Software ist heutzutage ähnlich weit verbreitet wie der Linux-Kernel. Von Servern bis zum Android-Smartphone – auf Milliarden Geräten findet der freie Betriebssystemkern seinen Einsatz. Dies hat natürlich auch eine Kehrseite: Eine Lücke im Linux-Kernel betrifft schnell einmal eine Unzahl an Devices. Und genau vor solch einem Fall warnt nun der Sicherheitsdienstleister Perception Point.

Root Exploit

Über einen Fehler im Schlüsselring-Code des Kernels (CVE-2016-0728) können lokale Nutzer relativ einfach ihre Rechte ausweiten, und so vollständigen Root-Zugriff zu erhalten. Infolge wäre es dann etwa möglich Schadsoftware einzubringen, und diese dauerhaft auf dem System zu verankern. Auf Android-Geräten lassen sich solche Manipulationen üblicherweise nur durch das vollständige Neuaufsetzen des Systems bereinigen.

Details

Die Lücke betrifft alle Geräte ab dem im Februar 2013 erstmals veröffentlichten Linux Kernel 3.8. Darunter dürften ein bedeutender Teil aller aktuellen Android-Devices fallen. Einzelne Linux-Distributionen sollen den fehlerbehafteten Code zudem auf ältere Ausgaben der Kernels rückportiert haben, insofern bedeutet eine ältere Kernel-Version zu haben nicht zwingendermaßen, dass das eigene System nicht anfällig ist.

Exploit

Parallel zu den Details zur Lücke haben die Sicherheitsforscher auch einen Exploit veröffentlicht, der das Problem demonstriert. Dieser braucht auf einem Rechner mit Intel Core i7-5500 CPU rund 30 Minuten, um Root-Rechte zu erlangen. Während dies auf einem Server keine große Hürde darstellen sollte, muss sich erst zeigen, wie praktikabel ein entsprechender Angriff auf einem Smartphone tatsächlich ist. Zudem betont Perception Point, dass die Schutzmaßnahmen aktueller Systeme die Ausführung des Exploits zum Teil unterbinden können. Dazu gehören etwa Intels SMAP/SMEP oder auch SELinux, wie es auf neueren Android-Geräten zum Einsatz kommt.

Voraussetzung

Ein weiterer begrenzender Faktor ist natürlich, dass ein Angreifer zunächst Zugriff auf das lokale System haben muss. Unter Android kann dies etwa eine App sein, die man aus unbekannten Quellen installiert hat, und die das falsche Vertrauen nutzt, um Spionage- oder Werbesoftware dauerhaft im System zu verankern. Vor wenigen Wochen ist es unbekannten Angreifern kurzfristig sogar gelungen, ein solches Stück Malware in den offiziellen Play Store einzuschmuggeln.

Keine Seltenheit

Der Vollständigkeit halber sei erwähnt, dass ein solcher lokaler Root-Exploit zwar zweifellos unangenehm aber nicht unbedingt selten ist. So hat etwa Google erst mit dem Jänner-Update für Nexus-Geräte gleich vier kritische Fehler behoben, mit denen Angreifer einen Vollzugriff auf das System erhalten hätten können.

Updates?

Die ersten Linux-Distributionen haben bereits mit der Auslieferung von Updates, die das Problem bereinigen, begonnen. Andere werden erfahrungsgemäß rasch folgen. Wann – und ob – ein entsprechendes Update für das eigene Android-Smartphone oder Tablet veröffentlicht wird, ist hingegen wie gewoht nicht seriös zu prognostizieren. (Andreas Proschofsky, 20.1.2016)