Skadevare til Android er ikke noe ukjent, men i de fleste tilfellene dreier det seg om relativt enkle trojanere som ikke gjør mer enn det brukerne i praksis tillater dem under installasjonen. Verre vil det bli dersom skadevaren også er i stand til å utnytte sårbarheter i operativsystemet, noe som er velkjent fra pc-verdenen. Da kan de skadelige applikasjonene i verste fall få full tilgang til systemet.
De fleste moderne operativsystemer har innebygde mekanismer som skal bidra til å hindre dette. Men det varierer hvor godt disse er implementert.
Sikkerhetseksperten Jon Oberheide i Duo Security har derfor analysert Android 4.1 «Jelly Bean», for å se hvordan denne ligger an i forhold til Android 4.0, hvor det er en del svakheter.
ASRL
Den sentrale forskjellen mellom versjon 4.0 og 4.1 er knyttet til implementeringen av ASLR (Address Space Layout Randomization), en teknikk for vilkårlig plassering av nøkkeldataområder i adresserommet til prosessene som kjøres på et system. Dette hindrer at dataene til en prosess legges i det samme minneområdet hver gang. Når dette kombineres teknikker for å hindre at data lagret i minneområder som ikke er beregnet for kjørbare data, blir det vanskeligere for skadevareutviklere å utnytte sårbarheter som skyldes minnekorrumpering.
Ifølge Oberheide ble ASLR først tatt i bruk av Android 4.0, men Oberheide mener at ASLR-støtten i Android 4.0 for en stor del er ineffektiv mot reelle angrep, siden den ikke støtter randomisering av blant annet minneregionene for linker og kjørbar kode.
I versjon 4.1 av Android er ASRL-støtten langt mer komplett, inkludert hele stakken, heap/brk, lib/mmap, linker og kjørbar kode. Dette, sammen med flere andre forbedringer som er nevnt i blogginnlegget, bidrar at Oberheide mener at Android med Jelly Bean gjør et stort skritt i riktig retning.
Han får støtte av Charlie Miller, sikkerhetsekspert i Accuvant, som til Ars Technica sier at det vil være temmelig vanskelig å skrive angrepskode til Android 4.1.
Det var Miller som sammen med Oberheide nylig avslørte at Bouncer-løsningen i Google Play ganske enkelt kan omgås.
Kan fortsatt bli bedre
Til tross for forbedringene, skriver Oberheide likevel at Android fortsatt har noe å gå på før systemet er fullt på høyde med andre mobilplattformer, som beveger seg videre med nye og innovative metoder for å hindre angrep. Han nevner som eksempel ASLR i kjernen, noe som er inkludert i iOS 6, men mener at Apple likevel stort sett bare er reaktive med hensyn til den typen angrepskode som vanligvis er rettet mot iOS-plattformen.
I blogginnlegget nevner Oberheide flere områder hvor Android kan bli bedre. Dette inkluderer obligatorisk kodesignering og en del teknikker som benyttes av andre Linux-distribusjoner og annen åpen kildekode for å unngå utnyttelse av blant annet overflytsfeil og for å begrense skaden av slike angrep.
Les også:
- [05.11.2012] Android-skanner skal passe på sidedøren
- [25.09.2012] iPhone 4S og Galaxy S III knekket