Android Security
Loading...
Files
Date
2011-07-21
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Durch die steigende Leistung der Mobilfunkgeräte finden darauf immer komplexere Applikationen
Anwendung. Diese beinhalten immer sensitivere Daten, wie z.B. E-Mail-Konten, Exchange-
Zugänge, VPN-Zugänge, etc. Dadurch wird es zunehmend wichtiger die Mobilfunkgeräte besonders
zu schützen.
Android verfolgt dabei ein Konzept aus einer Mischung des Linux-Rechtesystems und eines darauf
aufsetzenden eigenen Verfahrens. Dabei sind prinzipiell Zugriffe auf Hardware und auf Inhalte zu
unterscheiden. Zum einen werden I/O- und Hardware-Zugriffe aufgrund von Zugehörigkeit zu Benutzergruppen
aufgelöst, wohingegen Zugriffe auf Kontakte oder SMS durch einen System-Service
realisiert werden. Dieser Service überprüft dann, ob eine Applikation die angeforderten Rechte zugeteilt
bekommt.
Festgelegt werden die Rechte, die eine Applikationen für sich beansprucht, zur Installationszeit.
Diese Rechte werden separat vor der Installation angezeigt, wobei einige hervorgehoben werden,
um den Benutzer auf evtl. Gefahren hinzuweisen (Zugriff auf Kontaktdaten, SMS, etc.). Danach
hat ein Benutzer die Möglichkeit zu entscheiden, ob er der Software alle geforderten Rechte erlaubt
oder das Programm nicht installiert.
Aus den diversen Uberprüfungsroutinen des Rechtesystems, ergeben sich nun verschiedene Möglichkeiten,
Zugriff auf Daten oder Systemkomponenten zu bekommen, ohne diesen vorher bei der
Installation explizit zugeteilt bekommen zu haben.
Durch das Ausnutzen der unterschiedlichen Funktionen der Rechteüberprüfung innerhalb Androids,
ist es so möglich, unberechtigt Informationen eines Geräts auszulesen oder diese an einen entfernten
Server zu schicken. Es können auch Daten auf dem Gerät ungeachtet vom Benutzer manipuliert
und verändert werden, bis zur Kontrolle des Geräts durch potentielle Angreifer.