Der chinesische Chiphersteller Allwinner hat sich einen Sicherheits-Fauxpas geleistet, der quasi alle Schutzmaßnahmen aushebelt und die Nutzer sehr vieler Geräte diversen Risiken aussetzt. Es genügt ein einfacher Befehl, um auf den betroffenen Systemen sofort Root-Zugriff zu erhalten.
Allwinner baut preiswerte ARM-SoCs, die unter anderem in billigen Android-Tablets, Set-Top-Boxen und einer großen Bandbreite von Embedded-Systemen zum Einsatz kommen. Laut einem Bericht des US-Magazins Ars Technica verbirgt sich das Problem im Linux-Kernel, den das Unternehmen parallel zu seinen Chips bereitstellt und der von vielen Hardware-Herstellern übernommen wird, da er bereits für die fraglichen Prozessoren optimiert ist.
Im darüberliegenden Betriebssystem genügt es nun, den String "rootmydevice" als Befehl abzusetzen. Dies sorgt dafür, dass ein nicht öffentlich dokumentierter Debugging-Prozess aktiviert wird, der vermutlich gar nicht mehr in den ausgelieferten Kernels hätte vorhanden sein sollen. Mit diesem erhält man umgehend einen Root-Zugriff auf das System und kann beliebige Manipulationen vornehmen oder Codes ausführen.
Allnet Banana Pi
Android und diverse Pi-Rechner betroffen
Bei dem unsicheren Code handelt es sich um einen linux-3.4-sunxi-Kernel. Dieser wurde in der Vergangenheit von vielen Geräte-Herstellern als Basis eines Android-Systems genutzt, das auf Allwinner-Chips laufen sollte. Aber auch Linux-Distributionen für Mini-Rechner wie Orange Pi und Banana Pi, die mit SoCs des Unternehmens ausgestattet sind, verwenden den Systemkern. Kurzzeitig tauchte auf der GitHub-Seite von Allwinner auch eine Warnung auf, die über den Vorfall informierte. Diese kam offenbar von einem verantwortungsvollen Entwickler, der aber keine Rücksprache mit dem Management gehalten hatte. Die Information ist inzwischen wieder verschwunden.
Die Sache dürfte dem Ansehen des Chipherstellers noch weiteren Schaden zufügen. Ohnehin ist Allwinner in der Linux-Community nicht gerade mit einem guten Ruf ausgestattet. Denn der Firma werden bereits zahlreiche Verletzungen der GPL vorgeworfen, da sie beispielsweise keine Änderungen am Kernel an die Öffentlichkeit zurückgab. Und auch in anderen Fällen betrachtete die Firma die Open Source-Community wohl lediglich als kostenlosen Selbstbedienungsladen.
Anmelden
Der chinesische Chiphersteller Allwinner hat sich einen Sicherheits-Fauxpas geleistet, der quasi alle Schutzmaßnahmen aushebelt und die Nutzer sehr vieler Geräte diversen Risiken aussetzt. Es genügt ein einfacher Befehl, um auf den betroffenen Systemen sofort Root-Zugriff zu erhalten.
Allwinner baut preiswerte ARM-SoCs, die unter anderem in billigen Android-Tablets, Set-Top-Boxen und einer großen Bandbreite von Embedded-Systemen zum Einsatz kommen. Laut einem Bericht des US-Magazins Ars Technica verbirgt sich das Problem im Linux-Kernel, den das Unternehmen parallel zu seinen Chips bereitstellt und der von vielen Hardware-Herstellern übernommen wird, da er bereits für die fraglichen Prozessoren optimiert ist.
