Penetration Testing von Smartphone Betriebssystemen:
 Security Analyse anhand der Smartphone Betriebssysteme Firefox OS und Ubuntu Touch

Bachelor-Studiengang IT Security

Philip Wölfel, BSc
19.09.2014

Ausgangslage

Der Smartphone Markt wird zurzeit sehr stark von den zwei Betriebssystemen Android und iOS beherrscht. Android liegt dabei mit 81,1% weit vor iOS mit nur 15,2% und Windows Phone (2,7%) sowie BlackBerry OS (0,5%). Sonstige Betriebssysteme machen nur weitere 0,5% aus. Dementsprechend wird noch weniger verbreiteten Betriebssystemen wie Firefox OS und Ubuntu Touch nicht sehr viel Aufmerksamkeit geschenkt, sowohl von den BenutzerInnen als auch von Security ExpertInnen.

Ziel

Diese Arbeit soll einen Überblick über den grundlegenden Aufbau von Firefox OS und Ubuntu Touch liefern sowie insbesondere die Sicherheitsaspekte der Betriebssysteme beleuchten. Es wird dabei sowohl das Betriebssystem selbst als auch die darauf installierten Apps, beziehungsweise deren Möglichkeiten, im Bezug auf Sicherheit untersucht.

Ergebnis

Die zwei Betriebssysteme Firefox OS und Ubuntu Touch sind im Bereich Sicherheit schon weit fortgeschritten und bieten einige Features, die unter Android oder iOS längst von den NutzerInnen gefordert werden. Dazu zählen unter anderem per App Berechtigungen, die nicht nur bei der Installation angezeigt, sondern auch während der Laufzeit aktiviert und deaktiviert werden können. Dadurch ist ein sicherer Umgang mit den privaten Daten des/der Nutzers/Nutzerin viel einfacher möglich. Der/die Benutzer/Benutzerin kann einer App nur einzelne Berechtigungen geben, um die gewünschten Funktionen auszuführen, jedoch ungenutzte oder ungewünschte Features zu deaktivieren.

Firefox OS basiert auf HTML, CSS und JavaScript und nutzt diese Web Technologien sowohl für Apps als auch die Benutzeroberfläche selbst. Wie im Desktop Firefox wird auch hier die Gecko Runtime, die um einige Funktionen erweitert wurde, zur Darstellung der Inhalte verwendet. Die Apps laufen in einer eigenen Sandbox und sind vom System abgeschottet. Auch der Zugriff auf persönliche Nutzerdaten wird über ein Berechtigungssystem geregelt.
Ubuntu Touch ist eine Weiterentwicklung von Ubuntu für Desktop Systeme und nutzt ebenso das von Canonical entwickelte Darstellungssystem mit dem Namen Unity sowie Mir als Window Manager. Es basiert auf dem Android Open Source Projekt und nutzt noch einige Teile von diesem zur Kommunikation mit der Hardware. Apps können hier mittels des Ubuntu SDK in QML als auch HTML entwickelt werden. Auch hier wird ein Berechtigungssystem genutzt, das dem Benutzer bzw. der Benutzerin einen sicheren Umgang mit dessen Daten erlaubt.

FH-Betreuer: Dipl. Ing., Dipl. Ing. Christoph Lang-Muhr