Stagefright war so etwas wie ein Weckruf: Nach der Veröffentlichung mehrer kritischer Lücken im Android Media Server haben sich die Bemühungen Googles rund um die SIcherheit des Betriebssystems merklich intensiviert. Schon Android 6 und 7 brachten in dieser Hinsicht signifikante Verbesserungen, die nächste Softwaregeneration soll es Angreifern nun noch einmal erheblich schwerer machen.

Android O

Im Rahmen eines Vortrags auf der Google I/O widmete sich Xiaowen Xin, Produktmanagerin im Android Security Team, den Sicherheitsverbesserungen in Android O. Die wohl wichtigste ergibt sich aus jenem Project Treble, das bereits im Vorfeld der Konferenz öffentlich gemacht wurde, und das Android-Entwicklungschef Dave Burke an anderer Stelle auf der I/O als den "größten Umbau der Android-Basis bisher" bezeichnet.

Dadurch dass künftig die hardwarespezifischen Komponenten und das Android Framework strikt getrennt voneinander laufen, könne man nämlich auch zusätzliche Sicherheitssperrren aufziehen. Sandboxing erlaube es, dass viele theoretische Bugs in den Treibern künftig keine Auswirkungen mehr auf das eigentliche Android-System haben.

So laufe etwa künftig der Grafiktreiber isoliert von anderen Komponenten. Doch nicht nur das: Wie im Android Fireside Chat am Rande zu vernehmen war, kann der Grafiktreiber nämlich künftig über den Play Store aktualisiert werden. Wie das dann in der Realität funktioniert – also etwa ob dann der gleiche Treiber für mehrere Geräte funktioniert –, muss sich freilich erst zeigen, wenn die ersten Geräte mit der neuen Softwaregeneration verfügbar sind.

Die sich daraus ergebenden Möglichkeiten habe man denn auch gleich genutzt, um die Sicherheit des Mediaservers weiter zu stärken. So laufen in Android O AudioServer, CameraServer und MediaDRMServer in separaten Sandboxes, während andere Komponenten des Mediaserver gänzlich vom Hardwarezugriff getrennt wurden.

Grundlagen

Dabei baut man auf dem Redesign des Mediaservers in Android 7 auf, als dieser in mehrere Komponenten aufgesplittet wurde. Xin kann auch mit Zahlen aufwarten, was diese Maßnahme in Hinblick auf die Sicherheit gebracht habe. Rund 20 Prozent sämtlicher sicherheitsrelevanten Bugs, die im letzten Jahr im Mediaserver aufgespürt wurden, seien dadurch kein Thema mehr gewesen.

Verified Boot

Zu den weiteren Sicherheitsverbesserungen in Android O gehört ein gestärktes "Verfied Boot". Dieses verhindert nun von Haus aus Downgrades auf ältere – und somit unsichere – Betriebssystemversionen. Zudem wurde der Bootloader besser abgesichert, um sicherzustellen, dass eine Entsperrung hier wirklich nur auf expliziten Wunsch der User erfolgen kann – und nicht etwa durch bösartige Software.

Verschlüsselung

Weitere Verbesserungen gab es bei der Verschlüsselung der lokalen Daten. So wurde die mit Android 7 eingeführte File Based Encryption (FBE) mit Features wie Key Ejection gestärkt. An sich zeigt man sich zufrieden mit den Fortschritten in diesem Bereich. Während von den mit Android 6 laufenden Geräten nur 20 Prozent verschlüsselt sind, ist dieser Wert mit Android 7 mittlerweile auf mehr als 80 Prozent angewachsen. Das liege daran, dass Verschlüsselung – vorausgesetzt das jeweilige Gerät ist flott genug – mittlerweile verpflichtend sei, betont Xin.

Neu in Android O ist der Support für eigene Sicherheitschips ähnlich wie sie in Kreditkarten – oder bei Apples iPhone – eingesetzt werden. Dies soll physische Attacken gegen die Lock-Screen-Sperre deutlich schwerer machen. Einige Maßnahmen habe man zuletzt zudem gezielt gegen Ransomware gesetzt: So können Apps nicht länger den Lock Screen oder den Statusbar überlagern, schon mit Nougat habe man die Möglichkeiten von Apps mit Admin-Rechten beschränkt.

Kernel

Ein aktueller Schwerpunkt der Arbeit des Android-Sicherheitsteams ist die Stärkung des Linux-Kernels, machen Bugs in diesem doch mittlerweile fast die Hälfte sämtlicher gefundenen Lücken in Android-Geräten aus. Mittlerweile habe man hier ganze Klassen an Bugs beseitigen können. So hätten die eigenen Analysen gezeigt, das ganze 45 Prozent aller Kernel-Fehler auf fehlende oder inkorrekte Bounds Checks zurückgehen. Mit einem Feature namens Hardened Usercopy gehört dieser Angriffsvektor aber mittlerweile der Vergangenheit an.

Webview

Aber auch für App-Entwickler bringt Android O eine wichtige Sicherheitsverbesserung: Laufen doch Webviews zur Einbindung von Web-Inhalten mittlerweile isoliert von der restlichen App. Und das von Chrome gewohnte Safe Browsing, das vor betrügerischen Seiten warnt, kann nun ebenfalls bei Webviews genutzt werden.

Android O ist derzeit in der zweiten Developer Preview für aktuelle Google-Geräte verfügbar. Die fertige Version wird für August erwartet. (Andreas Proschofsky aus Mountain View, 20.5.2017)