Sicherheit
Sicherheits-Scanner Bouncer überlistet
von
Thorsten
Eggeling - 06.06.2012
Bouncer dient Google als Sicherheits-Scanner, um Android-Apps auf Schad-Funktionen zu untersuchen. Jetzt haben Sicherheitsexperten Wege gefunden, wie sich Schadsoftware vor der Entdeckung tarnen kann.
Experten von Duo Security haben eine prinzipielle Schwäche in Googles Überprüfungsprogramm Bouncer entdeckt. Google verwendet Bouncer erst seit Februar 2012. Damit werden Android-Apps in einem automatischen Test auf unterschiedliche Arten von Schädlingen geprüft. Dabei reagiert Bouncer auf verdächtige Verhaltensmuster und gleicht diese mit bereits analysierten Apps ab. Bei verdächtigem Verhalten oder eindeutig identifiziertem Schadcode erfolgt eine manuelle Prüfung durch die Sicherheitsexperten für Android.
In einem Video demonstrieren Jon Oberheide und Charlie Miller, wie sich die Bouncer überlisten lässt. Mit einer speziell präparierten App verschafften sie sich während der Analyse einen Fernzugriff auf das Bouncer-System. Dadurch gelang es ihnen, die Umgebung und deren Eigenschaften ausspionieren. Sie erfuhren auf diese Weise, welche Kernel-Version derzeit verwendet wird und erlangten Zugriff auf die Inhalte des Dateisystems. Zudem konnten sie auch Informationen über Geräte einholen, die von der Bouncer-Umgebung emuliert wurden.
Nach Angaben der Experten ist so nicht nur die Untersuchung des Bouncer-Systems möglich. Eine App kann feststellen, dass sie nicht auf einem richtigen Android-Gerät läuft, sondern in einer virtuellen Testumgebung. Sie verhält sich dann einfach ruhig und zeigt keine Schadfunktionen. Daher gelangt die App dann ungehindert auf Google Play.
Die Erkenntnis, dass sich virtuelle Umgebungen nicht uneingeschränkt zur Analyse von Schädlingen nutzen lassen, ist allerdings nicht neu. Auch einige Schädlinge für Windows prüfen, ob sie in einer virtuellen Maschine laufen. Dann verbergen sie Ihre Schadfunktion und blieben unentdeckt.
Duo Security will bei der Aufdeckung und Schließung von Sicherheitslücken mit Google kooperieren. Das Unternehmen hofft, dass Bouncer weiterentwickelt und optimiert wird, auch wenn das System bisher noch nicht in der Lage ist, auch raffinierten Schadcode ausfindig zu machen. Während der SummerCon vom 8. bis 10. Juni 2012 wollen die Experten von Duo Security ihre Erkenntnisse präsentieren.
