„Sicherheitslücken in Smartphones: Datenabfluss, Wirtschaftsspionage und auch Sabotage“

Mobile Endgeräte

Mobile Devices wie Smartphones bieten durch ihre Nutzung als Multifunktionsgeräte, eine beträchtliche Menge an Eingabeschnittstellen. Während ein Desktop PC meistens nur über WLAN und eine Netzwerkschnittstelle verfügt, trumpfen Mobile Devices unter anderem mit WLAN, Bluetooth, GPS, TV, Infrarot und Near Field Communication Schnittstellen auf. Und das sind bei weitem nicht alle. Die geringe Größe lässt meist nicht erkennen wie viel Hard- und Software sich mittlerweile in einem solchen Gerät verbirgt. Die untenstehende Grafik zeigt 9 remote ausnutzbare Eingabeschnittstellen (in rot) und 7 Eingabeschnittstellen, die ausgenutzt werden können, wenn der Täter das Gerät kurzzeitig in Händen hält (in gelb).

So vorteilhaft diese kompakten Smartphones als „Alleskönner“ klingen, so interessant sind sie also auch für Angreifer. Durch die vielen Schnittstellen, hinter denen sich komplexe Protokoll und Datenverarbeitungsalgorithmen verstecken, bieten Mobile Devices eine große Angriffsfläche. Nach einem erfolgreichen Angriff hat der Angreifer uneingeschränkten Zugriff auf alle Informationen und Dienste des Besitzers. Dies umfasst in der Regel Zugriff auf Emails (des Unternehmens), persönliche Kontakte, Mitschneiden von Telefongesprächen und Kurznachrichtendienste, Zugangsdaten zu sozialen Netzwerken, Online-Banking und natürlich vollen Lese- und Schreibzugriff auf den Speicher des Geräts auf dem Fotos, Videos und andere Dateien liegen – und darüber hinaus durch die unternehmenseigenen Apps vollen Zugriff auf aktuelle Unternehmensdaten.

Bitte klicken Sie auf die eingebettete Zeichnung, um sie zu vergrößern.

Erste Sicherheitsanalysen haben ergeben, dass die Protokollimplementierungen wie das GSM-Protokoll, das für Telefonie und Kurznachrichten genutzt wird, nicht korrekt auf invalide Daten prüft und durch die Verarbeitung der invaliden Daten ein anomales Verhalten zeigen. Dies führt mindestens zu Denial-of-Service Attacken kann aber auch bedeuten, dass ein Angreifer z.B. über eine manipulierte SMS die Kontrolle über das Zielgerät erlangt, ohne dass der Benutzer etwas davon mitbekommt.

Solche Attacken sind durchaus Realität. So wurde der erste bekannte Virus für Smartphones im Juni 2004 entdeckt. Cabir verbreitete sich durch eine Sicherheitslücke im Bluetooth-Protokoll auf alle Smartphones mit Symbian OS, die in Reichweite waren. Im Mai 2005 wurde erstmals Commwarrior-A entdeckt der sich durch MMS verbreiten konnte. Im Gegensatz zu Cabir war Commwarrior-A nicht auf die Reichweite von Bluetooth begrenzt, sondern konnte sich also per MMS auf jedes beliebige Smartphone der Symbian Series 60 ausbreiten, wodurch ihm eine theoretische Verbreitungsfähigkeit ähnlich der von Emailwürmern nachgesagt wird.

Hier wird schnell klar, dass mobile Endgeräte wie Smartphones stark gegen Angriffe geschützt werden müssen. Dies erfordert, dass Angriffe schon von vornherein verhindert werden, was nur möglich ist indem die Quelle, also die Sicherheitslücke die den Angriff überhaupt erst ermöglicht, identifiziert und behoben wird. Wie bei allen Angriffen gilt auch bei Mobile Devices: Kein erfolgreicher Angriff ohne Sicherheitslücke.

Fazit

Smartphones werden privat und in Unternehmen intensiv genutzt. Die vorhandenen vielfältigen Sicherheitsrisiken bleiben meist unberücksichtigt. Dabei sind alle Eingabeschnittstellen wie WLAN, Bluetooth, GPS, TV, Infrarot und NFC erfolgreich angreifbar, so dass die gespeicherten Daten ausgelesen und die Kommunikation mitgeschnitten werden kann.

Wichtige Informationen, Begriffe und Erläuterungen

Für unsere Leser, für die die Begriffe Thread Modeling, Fuzzing und Static Code Analysis neu sind, oder nicht so richtig greifbar, empfehle ich die Webseite von SoftScheck http://www.softscheck.com . Auf den Webseiten von SoftScheck – übrigens nur einmal so nebenbei erwähnt “Weltmarktführer” im Fuzzing – aus dem Ort Sankt Augustin bei Bonn – werden alle Begriffe gut und verständlich erläutert. Klassisches Pentesting ist out (was nicht heißen soll, dass man es nicht mehr benötigt, sondern, dass man es viel gezielter und bedachter als bisher einsetzen muss). Die neue Methode, um nicht erkannte Schwachstellen in Software aufzudecken heißt “Fuzzing”. Fuzzing verwendet spezielle Agenten, die eine eigenentwickelte oder eingesetzte Standardsoftware mit vielen millionen Angriffen, daraus entwickelten sequentiellen oder parallelen Angriffskombinationen, selbst lernenden Agenten und unter berücksichtigung der eingesetzten Hardware und auch verschiedenster – in den Szenarien einstellbaren – Softwarekonfigurationsparameter, beschießt.  Das sind viele Millionen intelligente Pentests pro Sekunde. Diese Methode findet viel schneller und auch ökonomischer Schwachstellen, als es klassische Pentests vermögen. Fuzzing benötigt nur das kompilierte Endprodukt. Man muss keinen Sourcecode bereitstellen. Das ist auch super für die Firmen, die ihre “heilige Kuh” in der Software versteckt haben, und damit vielleicht ihre 5% sensiblen Geschäftsgeheimnisse oder ihren Marktvorteil nicht preisgeben möchten. High-Tech Papst Prof. Dr. Hartmut Pohl kennt sich in der Methode am besten aus. Er ist CEO der Firma SoftScheck, und er hat den Lehrstuhl für Informationssicherheit im Fachbereich Informatik an der Hochschule Bonn-Rhein-Sieg. Prof. Pohl hat in einer Ausschreibung des BMWI alle weltweiten Fuzzingtools analysiert, und hat in die Agenten für Fuzzing der Firma SoftScheck das verbesserte Know-how eingebaut. Die Firma SoftScheck beschäftigt mittlerweile ca. 20 Mann, die sich um Static Code Analysis, Thread Modeling und Fuzzing kümmern. Die Firma ist derzeit ein Shooting-Star für das Thema Fuzzing. Prof. Pohl beschäftigt sich seit 10 Jahren damit. Und wenn Sie Prof. Pohl, sein Team, und dessen Enthusiasmus für die Sache erleben, man Sie konfrontiert mit dennoch vorhanden Schwachstellen in einer Ihrer Software, die Sie schon ge-pentested haben, und bisher als sicher erachteten, dann geht Ihnen auch, so wie mir, ein Licht auf. Fuzzing findet annähernd 99,9% nicht erkannter Schwachstellen in einer Software, von denen Angriffe ausgehen könnten. Gezielt. Schnell. Sicher!