Android basiert auf dem Linux-Kernel, aber je weiter es sich vom Kern des ursprünglichen Betriebssystems entfernt, desto mehr Aufwand muss Google betreiben, um seine Codebasis zu pflegen und die Geräte vor Bedrohungen zu schützen. Der Linux-Kernel selbst verfügt über mehrere Sicherheitsfunktionen, aber da er Open-Source ist, kann er verändert werden, um eine alternative Distribution zu erstellen. Jeder Hersteller von eingebetteten Linux- oder Android-Geräten (OEM), der eingebettete Systeme auf Basis von Android oder dem Linux-Kernel anbietet, muss sein System härten, um mobile und IoT-Geräte zu schützen.
Sicherheitsrisiken bei Embedded Linux
Das größte Risiko für die Sicherheit der Benutzer ist ein ungepatchter Kernel, nachdem eine Sicherheitslücke bekannt geworden ist. Das Schwierigste dabei ist, dass nicht jeder Linux-Sicherheitspatch eine CVE erhält, sodass es an den Administratoren und Entwicklern liegt, zu wissen, wann ein neuer Patch verfügbar ist. Patch-Management-Systeme von Drittanbietern scannen Systeme auf Schwachstellen und installieren automatisch Sicherheits-Patches, aber auf eingebetteten Linux- und Android-Systemen laufen mobile Geräte und IoT-Systeme, die für Schwachstellen-Scanner nicht offen zugänglich sind. Dies bedeutet, dass eingebettete Linux-Systeme ein wichtiges Ziel für Angreifer sind.
Ein Beispiel für den Schweregrad anfälliger eingebetteter Systeme ist CVE-2019-17666. Die Sicherheitslücke betrifft alle Systeme, die den Realtek Wi-Fi-Chip und Gerätetreiber verwenden. Obwohl ein Patch veröffentlicht wurde, sind schätzungsweise zahlreiche Smart-TVs, Türschlösser und Tausende von persönlichen Wi-Fi-Zugangspunkten ungepatcht und anfällig für einen Pufferüberlauf, der zu einer Dienstverweigerung oder einem möglichen Shell-Zugang führen kann. Mit Shell-Zugang könnte ein Angreifer seine eigene Malware (z. B. Botnet-Code) installieren, Einstellungen ändern und möglicherweise Benutzerdaten abhören, was zu einem schwerwiegenden Datenmissbrauch führen könnte.
Absicherung von Android- und anderen Embedded Linux-Geräten
Die Anpassung von Linux an die Distribution eines Drittanbieters erfordert nicht nur die richtigen Entwickler, sondern auch die richtigen Sicherheitsexperten, die das Potenzial für Schwachstellen kennen, wenn die falsche Änderung am Betriebssystem vorgenommen wird. Google kündigte an, dass es Android auf eine engere Version des ursprünglichen Linux-Kernels umstellen wird, um den Aufwand für Entwickler zu reduzieren und den direkten Zugriff auf den Kernel durch benutzerdefinierte Gerätetreiber von Drittanbietern zu begrenzen.
Um Embedded Linux besser abzusichern, ist es wichtig, dass Hersteller auf Anbieter zurückgreifen, die es verstehen, optimierte Linux-Betriebssysteme zu liefern, die kundenspezifische Boards und proprietäre Hardware unterstützen. Bei L4B Software haben wir seit 2004 Erfahrung in der Entwicklung sicherer Embedded-Linux-Lösungen für mobile Geräte und IoT. Wir betrachten die Sicherheit von Embedded Linux als eine Priorität in unserem Entwicklungszyklus, um sicherzustellen, dass unsere Kunden ein System erhalten, das nicht nur für die Leistung optimiert ist, sondern auch sicher bleibt. Wir tun dies auf mehrere Arten:
- Benutzerdefinierte APIs: Wir stellen eine Schnittstelle mit APIs zur Verfügung, damit Kunden einen vordefinierten Satz von Befehlen ausführen können.
- Hardware Abstraction Layer (HAL): Ähnlich wie Android die Geräteschnittstelle mit dem Kernel handhabt, ermöglicht unser HAL den Treibern eine Schnittstelle mit der oberen Schicht von Linux, ohne direkt mit dem Kernel zu interagieren.
- SDKs und Wrapper: Dokumentation und Wrapper bieten Ihren Entwicklern eine sichere und einfache Möglichkeit, mit dem System zu arbeiten.
