Android Security

Abstract

Durch die steigende Leistung der Mobilfunkgeräte finden darauf immer komplexere Applikationen Anwendung. Diese beinhalten immer sensitivere Daten, wie z.B. E-Mail-Konten, Exchange- Zugänge, VPN-Zugänge, etc. Dadurch wird es zunehmend wichtiger die Mobilfunkgeräte besonders zu schützen. Android verfolgt dabei ein Konzept aus einer Mischung des Linux-Rechtesystems und eines darauf aufsetzenden eigenen Verfahrens. Dabei sind prinzipiell Zugriffe auf Hardware und auf Inhalte zu unterscheiden. Zum einen werden I/O- und Hardware-Zugriffe aufgrund von Zugehörigkeit zu Benutzergruppen aufgelöst, wohingegen Zugriffe auf Kontakte oder SMS durch einen System-Service realisiert werden. Dieser Service überprüft dann, ob eine Applikation die angeforderten Rechte zugeteilt bekommt. Festgelegt werden die Rechte, die eine Applikationen für sich beansprucht, zur Installationszeit. Diese Rechte werden separat vor der Installation angezeigt, wobei einige hervorgehoben werden, um den Benutzer auf evtl. Gefahren hinzuweisen (Zugriff auf Kontaktdaten, SMS, etc.). Danach hat ein Benutzer die Möglichkeit zu entscheiden, ob er der Software alle geforderten Rechte erlaubt oder das Programm nicht installiert. Aus den diversen Uberprüfungsroutinen des Rechtesystems, ergeben sich nun verschiedene Möglichkeiten, Zugriff auf Daten oder Systemkomponenten zu bekommen, ohne diesen vorher bei der Installation explizit zugeteilt bekommen zu haben. Durch das Ausnutzen der unterschiedlichen Funktionen der Rechteüberprüfung innerhalb Androids, ist es so möglich, unberechtigt Informationen eines Geräts auszulesen oder diese an einen entfernten Server zu schicken. Es können auch Daten auf dem Gerät ungeachtet vom Benutzer manipuliert und verändert werden, bis zur Kontrolle des Geräts durch potentielle Angreifer.