Security-GAU: ARM-Hersteller liefert den Root-Zugriff frei Haus mit

Notebook, Hacker, Linux Bildquelle: David Masters / Flickr
Der chinesische Chiphersteller Allwinner hat sich einen Sicherheits-Fauxpas geleistet, der quasi alle Schutzmaßnahmen aushebelt und die Nutzer sehr vieler Geräte diversen Risiken aussetzt. Es genügt ein einfacher Befehl, um auf den betroffenen Systemen sofort Root-Zugriff zu erhalten.
Allwinner baut preiswerte ARM-SoCs, die unter anderem in billigen Android-Tablets, Set-Top-Boxen und einer großen Bandbreite von Embedded-Systemen zum Einsatz kommen. Laut einem Bericht des US-Magazins Ars Technica verbirgt sich das Problem im Linux-Kernel, den das Unternehmen parallel zu seinen Chips bereitstellt und der von vielen Hardware-Herstellern übernommen wird, da er bereits für die fraglichen Prozessoren optimiert ist.

Im darüberliegenden Betriebssystem genügt es nun, den String "rootmydevice" als Befehl abzusetzen. Dies sorgt dafür, dass ein nicht öffentlich dokumentierter Debugging-Prozess aktiviert wird, der vermutlich gar nicht mehr in den ausgelieferten Kernels hätte vorhanden sein sollen. Mit diesem erhält man umgehend einen Root-Zugriff auf das System und kann beliebige Manipulationen vornehmen oder Codes ausführen.

Allnet Banana PiAllnet Banana PiAllnet Banana PiAllnet Banana Pi

Android und diverse Pi-Rechner betroffen

Bei dem unsicheren Code handelt es sich um einen linux-3.4-sunxi-Kernel. Dieser wurde in der Vergangenheit von vielen Geräte-Herstellern als Basis eines Android-Systems genutzt, das auf Allwinner-Chips laufen sollte. Aber auch Linux-Distributionen für Mini-Rechner wie Orange Pi und Banana Pi, die mit SoCs des Unternehmens ausgestattet sind, verwenden den Systemkern. Kurzzeitig tauchte auf der GitHub-Seite von Allwinner auch eine Warnung auf, die über den Vorfall informierte. Diese kam offenbar von einem verantwortungsvollen Entwickler, der aber keine Rücksprache mit dem Management gehalten hatte. Die Information ist inzwischen wieder verschwunden.

Die Sache dürfte dem Ansehen des Chipherstellers noch weiteren Schaden zufügen. Ohnehin ist Allwinner in der Linux-Community nicht gerade mit einem guten Ruf ausgestattet. Denn der Firma werden bereits zahlreiche Verletzungen der GPL vorgeworfen, da sie beispielsweise keine Änderungen am Kernel an die Öffentlichkeit zurückgab. Und auch in anderen Fällen betrachtete die Firma die Open Source-Community wohl lediglich als kostenlosen Selbstbedienungsladen. Notebook, Hacker, Linux Notebook, Hacker, Linux David Masters / Flickr
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden