Embedded OS Hardening -Sicherheit Embedded Linux- und Android-Systeme

OS-Härtung L4B

Android basiert auf dem Linux-Kernel, aber je weiter es sich vom Kern des ursprünglichen Betriebssystems entfernt, desto mehr Aufwand muss Google betreiben, um seine Codebasis zu pflegen und die Geräte vor Bedrohungen zu schützen. Der Linux-Kernel selbst verfügt über mehrere Sicherheitsfunktionen, aber da er Open-Source ist, kann er verändert werden, um eine alternative Distribution zu erstellen. Jeder embedded Linux- oder Android-Gerätehersteller (OEM), der embedded Systeme anbietet, die auf Android oder dem Linux-Kernel basieren, muss sein System härten, um mobile und IoT-Geräte zu schützen.

Sicherheitsrisiken mit Embedded Linux

Das größte Risiko für die Sicherheit der Benutzer ist ein ungepatchter Kernel, nachdem eine Sicherheitslücke bekannt geworden ist. Das Schwierigste dabei ist, dass nicht jeder Linux-Sicherheitspatch eine CVE erhält, sodass es an den Administratoren und Entwicklern liegt, zu wissen, wann ein neuer Patch verfügbar ist. Patch-Management-Systeme von Drittanbietern scannen Systeme auf Schwachstellen und installieren Sicherheits-Patches automatisch, aber embedded Linux- und Android-Systeme laufen auf mobilen Geräten und im Internet der Dinge, die für Schwachstellen-Scanner nicht offen zugänglich sind. Dies bedeutet, dass embedded Linux-Systeme ein wichtiges Ziel für Angreifer sind.

Ein Beispiel für den Schweregrad der anfälligen Systeme von embedded ist CVE-2019-17666. Die Sicherheitslücke betrifft alle Systeme, die den Realtek Wi-Fi-Chip und Gerätetreiber verwenden. Obwohl ein Patch veröffentlicht wurde, sind schätzungsweise zahlreiche Smart-TVs, Türschlösser und Tausende von persönlichen Wi-Fi-Zugangspunkten nicht gepatcht und anfällig für einen Pufferüberlauf, der zu einer Dienstverweigerung oder einem möglichen Shell-Zugang führen könnte. Mit Shell-Zugang könnte ein Angreifer seine eigene Malware (z. B. Botnet-Code) installieren, Einstellungen ändern und möglicherweise Benutzerdaten abhören, was zu einem schwerwiegenden Datenmissbrauch führen könnte.

Absicherung von Android- und anderen Embedded Linux-Geräten

Die Anpassung von Linux an die Distribution eines Drittanbieters erfordert nicht nur die richtigen Entwickler, sondern auch die richtigen Sicherheitsexperten, die das Potenzial für Schwachstellen kennen, wenn die falsche Änderung am Betriebssystem vorgenommen wird. Google kündigte an, dass es Android auf eine engere Version des ursprünglichen Linux-Kernels umstellen wird, um den Aufwand für Entwickler zu reduzieren und den direkten Zugriff auf den Kernel durch benutzerdefinierte Gerätetreiber von Drittanbietern zu begrenzen.

Um embedded Linux besser abzusichern, ist es wichtig, dass Hersteller auf Anbieter zurückgreifen, die wissen, wie man optimierte Linux-Betriebssysteme liefert, die kundenspezifische Boards und proprietäre Hardware unterstützen. Bei L4B Software haben wir seit 2004 Erfahrung in der Entwicklung sicherer embedded Linux-Lösungen für mobile Geräte und IoT. Wir betrachten die Sicherheit von embedded Linux als eine Priorität in unserem Entwicklungszyklus, um sicherzustellen, dass unsere Kunden ein System erhalten, das nicht nur auf Leistung optimiert ist, sondern auch sicher bleibt. Wir tun dies auf mehrere Arten:

  • Benutzerdefinierte APIs: Wir stellen eine Schnittstelle mit APIs zur Verfügung, so dass Kunden einen vordefinierten Satz von Befehlen ausführen können.
  • Hardware Abstraction Layer (HAL): Ähnlich wie Android die Geräteschnittstelle mit dem Kernel handhabt, ermöglicht unser HAL den Treibern eine Schnittstelle mit der oberen Schicht von Linux, ohne direkt mit dem Kernel zu interagieren.
  • SDKs und Wrapper: Dokumentation und Wrapper bieten Ihren Entwicklern eine sichere und einfache Möglichkeit, mit dem System zu arbeiten.

Neuer Aufruf zum Handeln