Linux-exploit levert Android 4-rootkit op

Het net onthulde geheugenlek in de Linux-kernel heeft al een specifieke exploit voor Android 4.0 opgeleverd. Toestellen met Ice Cream Sandwich zijn hierdoor te rooten.

Deze Android-rootkit is gemaakt door hacker Jay Freeman, die beter bekend is onder de naam saurik en die de alternatieve iOS app-winkel Cydia heeft opgezet. Hij heeft zijn exploit (mempodroid) gebaseerd op de gloednieuwe kernel-exploit (Mempodipper) die begin deze week is geopenbaard. Daarbij hebben derden gelijk eigen exploitcode ontwikkeld, waarna ontdekker Jason Donenfeld alsnog zijn exploitcode heeft vrijgegeven.
Lokale rechten

Het net geopenbaarde Linux-beveiligingslek is alleen te gebruiken voor aanvallers die al lokale rechten hebben. Dat is per definitie al het geval voor Android-gebruikers die hun eigen smartphone of tablet willen kraken (rooten). Kwaadwillenden kunnen op afstand ook misbruik maken van dit lek door eerst lokale rechten te verkrijgen, bijvoorbeeld via een lekke applicatie.

De gloednieuwe Android-exploit werkt niet op álle versies van dat mobiele platform. De zwakke plek is namelijk aanwezig in de Linux-kernel vanaf versie 2.6.39 en die is vóór Android 4.0 nog niet in gebruik voor dat smartphonebesturingssysteem. Android 2.3 draait officieel kernel 2.6.35, de speciale tabletversie 3.0 (Honeycomb) gebruikt kernel 2.6.36 en het nieuwste Android (Ice Cream Sandwich, ICS) heeft kernel 3.0.1.
Android-fragmentatie

Rootkit-maker saurik blogt dat hiermee ook gesloten Android-apparaten zijn te kraken, zoals de Transformer Prime van Asus. Die tablet heeft een gesloten bootloader, waardoor alternatieve besturingssystemen zoals aangepaste Android-varianten en eigen apps zijn buitengesloten. Asus heeft al wel beloofd op termijn een unlock van de bootloader uit te brengen.

De rootkit is nog in ontwikkeling om het rooten van ICS te vergemakkelijken. Overigens kan de gebruikte kernel-versie in Android verschillen per toestelfabrikant. Zo gebruikt Sony Ericsson een wat oudere Linux-kernel in de verschillende Android-versies op zijn smartphones. Dit geldt ook voor de nieuwste release: Ice Cream Sandwich. Sony Ericsson doet dit om ICS zo snel mogelijk op de markt te krijgen.


Niet alle Android 4.0-toestellen gebruiken de nieuwere Linux-kernel, met daarin het lek. Sony Ericsson gebruikt nog een oude kernel, hier te zien in een uitgelekte build (op 0:29 in beeld):