Android 11: Profil-Trennung nicht hinreichend für Sicherheit

Bei Android 11 ist die Segregation ein Kern-Feature des Betriebssystems geworden

[datensicherheit.de, 11.09.2020] Das Google-Betriebssystem „Android“ für Mobilgeräte sei weltweit in Millionen von Smartphones integriert – sowohl in privaten als auch in Firmen-Geräten. Entsprechend stehe es dauerhaft unter Beschuss durch Hacker. Nach eigenen Angaben haben Sicherheitsforscher der Check Point® Software Technologies Ltd. „Android 11“ nun genau unter die Lupe genommen und dabei festgestellt, „dass die Möglichkeit, zwei getrennte Profile auf einem Smartphone zu etablieren, eines für berufliche und eines für private Zwecke des Mitarbeiters, zwar eine gute Idee ist, jedoch nicht so viel Sicherheit bietet, wie gedacht“.

Christine Schönig, Foto: Check Point Software Technologies

Christine Schönig: Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software!

BYOD mit Android 11: Keine umfängliche Sicherheit für Unternehmen

Das Prinzip, auf einem mobilen Endgerät zwei getrennte Profile zu installieren, werde seit längerer Zeit genutzt, vor allem von Unternehmen, welche die Eingliederung privater Endgeräte in das Unternehmensnetzwerk erlauben (BYOD: Bring your own device). Dabei werde das Unternehmensprofil durch die betriebliche IT-Abteilung überwacht und gewartet. Entsprechend seien Zugriffsmöglichkeiten, Auswahl von Applikationen und dergleichen in der Hand der Firma und strikt geregelt.
Mit „Android 11“ sei diese Segregation nun ein Kern-Feature des Betriebssystems geworden. Allerdings garantiere die Abtrennung der Nutzerprofile keine umfängliche Sicherheit für das Unternehmen. „Wie die Sicherheitsforscher von Check Point feststellen mussten, reicht eine Malware-Infektion auf der privaten Seite des Mobilgerätes, um auch das Unternehmensprofil zu kompromittieren.“

Bei Kontrolle über Android’s Accessibility Services können diese missbraucht werden

Erlangten Angreifer beispielsweise die Kontrolle über „Android’s Accessibility Services“ (AAS), welche verschiedene Funktionen für behinderte Menschen zur Verfügung stellten, um die Bedienung des Geräts zu vereinfachen, so könnten diese missbraucht werden, um das Unternehmensprofil auszuspähen. Mittels dieser Funktionen ließen sich zudem Eingaben in den Bildschirm auslesen und somit Zugangsdaten ergattern – über die Profil-Grenze hinweg.
Daher sei es unabdingbar, neben der Profil-Trennung zusätzliche Sicherheitsvorkehrungen zu treffen, betont Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH. Die Abgrenzung von privaten und beruflichen Profilen sei wichtig und komme den Mitarbeitern entgegen – allerdings sei sie mitnichten sicher. Schönig: „Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software, die den Missbrauch von Funktionen und das unberechtigte Abfragen von Daten verhindert. Zusammen bilden die Funktionen des Betriebssystems und die externen Sicherheitslösungen dann eine umfangreiche, echte Absicherung des Smartphones.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., Yaelle Harel
Using Android Enterprise? Learn how to close security gaps for the different deployment models

datensicherheit.de, 07.09.2020
Check Point bringt Anti-Debug-Enzyklopädie gegen Malware heraus