Sicherheitslücke bei App-Werbung von Baidu

bitdefender_logo_-_zuammenfassung

Das Forschungsteam von Bitdefender hat herausgefunden, dass der Update-Mechanismus des Baidu Mobile Advertising SDK (Software Development Kit) eine Sicherheitslücke aufweist. Sie erlaubt die Ausführung von Remote Code über einfache Man-in-the-Middle-Attacken. Diese Angriffe sind durch die Nutzung eines unsicheren Kommunikationskanals (HTTP-Protokoll) im Update-Prozess einer Komponente (_pasys_remote_banner.jar) möglich.

Baidu ist ein in China sehr erfolgreiches Web-Service-Unternehmen, das Entwicklern von mobilen Apps ein SDK zur Erzeugung von Werbeanwendungen zur Verfügung stellt. Damit können sie von Baidu genehmigte Anzeigen in ihre Apps einbinden. Das Baidu Mobile Advertising SDK ist kostenlos verfügbar und kann mit nur geringem Fachwissen in jede Anwendung integriert werden. Auch in Deutschland können Nutzer von der Schwachstelle betroffen sein, insbesondere wenn sie international verfügbare Android-Apps verwenden.

Das Baidu Mobile Advertising SDK besitzt zwei wichtige Komponenten. Eine befindet sich direkt in „classes.dex“. Sie sorgt dafür, dass die Library nach dem Build in den „classes.dex“ Code gelangt. Die zweite ist die betroffene .jar-Datei, die sich in einem eigenen Ordner der APK befindet, die beim Start der Anwendung dynamisch durch das erste Modul geladen wird. Obwohl die Forscher in den realen Tests mit Hilfe des von ihnen entwickelten Proof of Concepts (PoC) nicht die angreifbare Version der ersten Komponente ermitteln konnten, identifizierten sie mehrere implementierte Versionen in der Datei MANIFEST.MF der zweiten Komponente mit der Sicherheitslücke. Dazu zählen unter anderem die Versionen 3.83, 3.71 und 3.68. Aktuell wird die Version 3.93 oder 3.92 heruntergeladen.

image123
Da die gesamte Kommunikation über HTTP abgewickelt wird, könnte ein Angreifer diese einfach abfangen und ein speziell erstelltes Softwarepaket einschleusen, um persönliche und private Daten zu sammeln, die sich auf dem genutzten Gerät befinden. Bild 1 zeigt, wie ein Angreifer die beiden HTTP-Abfragen manipulieren könnte, die während des Updates der JAR-Komponente durchgeführt werden. Damit erhält er auch Informationen über die aktuell genutzte Version (Versionsnummer und URL der JAR-Datei).

Bild1

Anschließend muss er nur die aktuelle JAR-Datei von der angegebenen URL herunterladen, die in der Antwort auf die erste Anfrage gegeben wird, wie in Bild 2 dargestellt.

Bild2

Der von Bitdefender erzeugte PoC nutzt einen Man-in-the-Middle-Proxy, der als veränderte Version der originalen JAR-Datei dient. Die geänderte Version wird automatisch beim nächsten Start der betroffenen Applikation geladen. Die modifizierte Version der Datei _pasys_remote_banner.jar integriert Code, der private Daten wie Google-Konto, Telefonnummer, Kontakte oder Ort auszulesen versucht. Dies erfolgt gemäß der Zugriffserlaubnisse der Anwendung, die das Advertising SDK enthält. Anschließend werden die Daten zu einem Web Service übertragen. Im nächsten Schritt lädt die Schadsoftware Fotos vom Standard-Speicherort der Kamera-Anwendung hoch. Schließlich zeigt der PoC von Bitdefender eine Botschaft in einem kleinen Popup-Menü an, das einige gesammelte Daten enthält.

Bild3

Dieser PoC beweist, dass ein Angreifer die Schwachstelle ausnutzen kann, um auf einfache Weise hochsensible und persönliche Nutzerdaten auszulesen. Verschiedene Studien haben gezeigt, dass BYOD (Bring Your Own Device) in Unternehmen sehr häufig ist, wobei ein Gerät für berufliche und private Daten genutzt wird. Dies bedeutet, dass ein Angreifer möglicherweise auf viel mehr als nur ein paar persönliche Fotos zugreifen kann, zum Beispiel auf sensible Unternehmensinformationen. Dadurch können große Schäden entstehen.

Bitdefender empfiehlt Nutzern dringend, eine mobile Sicherheitslösung zu verwenden, die schädliche Anwendungen identifizieren kann, sowie Apps zur Datenschutzprüfung zu installieren. Diese bieten zusätzliche Informationen darüber, wie sich installierte Anwendungen verhalten sowie welche Daten sie abrufen und wohin schicken.

Beispiele von häufig genutzten, angreifbaren Android-Anwendungen, die mit dem Baidu Mobile Advertising SDK ausgeliefert werden:

  1. https://play.google.com/store/apps/details?id=com.perfect.player – 4.5 (19)
  2. https://play.google.com/store/apps/details?id=air.com.hbx.escape.escapeFamousMansion0.0 (1000000)
  3. https://play.google.com/store/apps/details?id=com.zc.electric.screen0 (1)

 

Dieser Text basiert auf technischen Informationen, die mit freundlicher Genehmigung von Vlad Bordianu, Forscher bei Bitdefender, zur Verfügung gestellt wurden.

Bitdefender ist ein weltweit agierender Anbieter von IT-Sicherheits-Software, der über sein Netzwerk aus Vertriebs-, Handels- und Technologiepartnern Lösungen in mehr als 100 Ländern anbietet. Seit 2001 hat Bitdefender durchgehend höchste Auszeichnungen für seine Sicherheitstechnologie im Verbraucher- wie im Unternehmensbereich erhalten. In Sachen Sicherheit für VDI und Cloud-Umgebungen ist das Unternehmen branchenführend. Durch erstklassige Forschung und Entwicklung sowie strategische Allianzen und Partnerschaften mit führenden VDI- und Cloud-Anbietern hat Bitdefender mit seinen preisgekrönten Lösungen die Messlatte in der IT-Sicherheit kontinuierlich angehoben.

Weitere Informationen finden Sie unter http://enterprise.bitdefender.com/de