Gleiche Sicherheit für alle Android-Versionen – nur ein Traum?
Mehrere von F-Secure Labs veröffentlichte Studien zeigen, dass regionsspezifische Standardkonfigurationen und -einstellungen in einigen führenden Android-Geräten zu Sicherheitsproblemen führen. Diese betreffen Menschen in einigen Ländern – in anderen jedoch nicht.
Laut James Loureiro, dem britischen Forschungsleiter von F-Secure Consulting, zeigt die Studie die möglichen Sicherheitskompromisse, die Anbieter bei der Anpassung von Android-Versionen unbewusst in Kauf nehmen müssen.
„Man geht ja normalerweise davon aus, dass Geräte der gleichen Marke gleich funktionieren – unabhängig davon, an welchem Ort auf der Welt man sich befindet. Die Anpassungen durch Drittanbieter wie Samsung, Huawei und Xiaomi kann jedoch dazu führen, dass die Sicherheit dieser Geräte erheblich beeinträchtigt wird, je nachdem, in welcher Region ein Gerät eingerichtet wird oder welche SIM-Karte sich darin befindet“, so Loureiro. „Wir haben festgestellt, dass über hundert Geräte mit jeweils vom Hersteller vorinstallierten Anwendungen eine erhebliche Angriffsfläche bieten, die je nach Region unterschiedlich groß ausfällt.“
James Loureiro, Mark Barnes und Toby Drew von F-Secure Consulting (links nach rechts)
Standardmäßig unsicher
Um sich mit ihren Geräten von den Angeboten ihrer Konkurrenten zu differenzieren, installieren die Anbieter von Android-Smartphones oft zusätzliche Apps mit unterschiedlichen Funktionen auf ihren Handys. Das hat jedoch auch Nachteile. Und die können bedeutender sein als der Nutzwert eines Bundles von zusätzlichen Apps, von denen die Anwender wahrscheinlich nie Gebrauch machen.
Eine übermäßige Anzahl von Apps ist nie gut für die Sicherheit. Sie erweitern die Angriffsfläche eines Geräts, indem sie Angreifern mehr potenzielle Ziele bieten. Mehr Gerätefunktionen können so unter Umständen zu mehr Problemen führen. Und wenn diese Anwendungen in der Standardkonfiguration des Geräts mitgeliefert werden, können enthaltene Schwachstellen Sicherheitsprobleme für das gesamte Gerät verursachen. Auf diese Weise konnten Loureiro und seine Kollegen zum Beispiel einen Angriff entwerfen, um Huawei’s Mate 9 Pro zu kompromittieren.
Der Zugriff auf Google Play ist in China verboten. Das zwingt die Anbieter, stattdessen ihre eigenen App-Stores anzubieten. Für Geräte von Huawei gibt es bereits einen eigenständigen App-Store namens Huawei AppGallery. F-Secures Sicherheitsberater haben dort mehrere Schwachstellen gefunden, die Angreifer für weitere Angriffe ausnutzen könnten. Anschließend könnten sie eine weitere von F-Secure entdeckte Sicherheitslücke im Huawei iReader nutzen, um auf den Geräten schadhaften Code auszuführen und zum Beispiel sensible Daten zu stehlen.
Man könnte jetzt denken, dass dies nur aufgrund der für China geltenden lokalen Beschränkungen möglich ist und somit nur in und für China gilt. Die Untersuchungen von F-Secure Consulting über das Xiaomi Mi 9 zeigen jedoch, dass diese Annahme zu kurz gedacht ist.
Nutzer können zum Beispiel durch eine schadhafte E-Mail- oder SMS-Nachricht so getäuscht werden, dass durch das anschließende Öffnen einer von einem Angreifer kontrollierten Website die Standardkonfiguration des Xiaomi Mi 9 manipuliert werden kann. Das gilt nicht nur für China, sondern auch für Indien, Russland und möglicherweise weitere Länder. Des Weiteren haben F-Secures Forscher im Xiaomi-eigenen GetApps-Store Sicherheitslücken entdeckt, durch die ein Angreifer die volle Kontrolle über das Gerät übernehmen könnte. Außerdem behandelt die Studie einen zweiten, ähnlichen Angriff, der über vom Angreifer kontrollierte NFC-Tags durchgeführt wird. Beide Angriffstypen öffnen Angreifern den erforderlichen Zugang, um Daten stehlen oder Malware auf manipulierten Geräten installieren zu können.
SIMs sind etwas suspekt
Mit einem neuartigen Ansatz demonstrierten die Forscher von F-Secure einen Angriff auf das Samsung Galaxy S9, der nicht von einer Einstellung oder Konfiguration des Telefons selbst abhing. Der Angriff basiert teilweise auf der Art und Weise, wie das Telefon sein Verhalten für verschiedene SIM-Karten zu ändern scheint. Der Code des Samsung-Geräts erkennt den von der SIM-Karte verwendeten Mobile Country Code (MCC). Einige Anwendungen passen ihr Verhalten an, wenn sie einen chinesischen MCC erkennen (460). In einem Fall (Samsung Game Optimizing Service) haben die Sicherheitsforscher von F-Secure herausgefunden, wie sie die Änderung nutzen können, um das Gerät zu manipulieren.
Für diesen Angriff muss ein Angreifer die betroffenen Galaxy S9-Nutzer dazu bringen, eine Verbindung zu einem von ihnen kontrollierten Wi-Fi-Netzwerk herzustellen (z. B. indem sie sich als kostenloses öffentliches Wi-Fi-Netzwerk ausgeben). Wenn der Samsung Game Optimizing Service eine chinesische SIM-Karte erkennt, akzeptiert er unverschlüsselte Updates, so dass ein Angreifer das Gerät über einen Man-in-the-Middle-Angriff manipulieren kann. Ist er damit erfolgreich, erlangt der Angreifer die volle Kontrolle über das Handy.
Eine Geschichte von zwei Sicherheitsstandards
F-Secure Consulting hat in den letzten Jahren eine ganze Reihe von Entdeckungen während der Vorbereitungen für die Pwn2Own-Hacking-Wettbewerbe zusammengetragen. Bei Pwn2Own treten Teilnehmer gegeneinander an, um ausgewählte Geräte zu hacken, indem sie zuvor nicht veröffentlichte Schwachstellen ausnutzen (Zero-Days).
Diese Schwachstellen sind möglicherweise nur ein kleiner Teil von zahlreichen weiteren Sicherheitsproblemen. Android ist laut IDC das weltweit meist verbreitete Betriebssystem für Mobiltelefone. Weiteren Angaben zufolge ist es sogar das populärste Betriebssystem aller Zeiten.
Aufgrund seiner überwältigenden Dominanz auf dem weltweiten Mobiltelefonmarkt stellt die fragmentierte Landschaft von Sicherheitsproblemen eine große Herausforderung dar. Der leitende Sicherheitsberater von F-Secure Consulting, Toby Drew, der bei der Untersuchung des Angriffs auf das Xiaomi Mi 9 mitgewirkt hat, befürchtet, dass diese regionalen Unterschiede unterschiedliche Sicherheitsniveaus für die Menschen in den verschiedenen Ländern schaffen.
„Es ist wichtig, dass die Anbieter die Auswirkungen auf die Sicherheit berücksichtigen, wenn sie Android für verschiedene Regionen anpassen. Die Menschen in einer Region haben nicht mehr oder weniger Anspruch auf Sicherheit als andere. Und wenn man dasselbe Gerät so konfiguriert hat, dass es den Benutzern in einer Region im Vergleich zu einer anderen weniger Sicherheit bietet, schafft es eine Art Ungleichheit, indem es ihre Anfälligkeit für Angriffe erhöht“, sagt Toby.
Der leitende Sicherheitsforscher von F-Secure Consulting, Mark Barnes, der auch an der Untersuchung des Xiaomi Mi 9 mitgewirkt hat, weist darauf hin, dass mit der Zunahme der kundenspezifischen Android-Versionen auch die Bedeutung der Sicherheitsforschung zunimmt.
„Wenn man Probleme wie diese auf mehreren bekannten Mobiltelefonen findet, dann wird deutlich, dass sich die Sicherheitscommunity mit diesem Bereich genauer befassen muss“, so Barnes. „Die Untersuchungen haben uns einen Eindruck davon verschafft, wie problematisch die Verbreitung von kundenspezifischen Android-Versionen aus sicherheitspolitischer Sicht sein kann. Und es ist wirklich wichtig, das Bewusstsein dafür bei den Geräteherstellern, aber auch bei großen Organisationen, die in mehreren verschiedenen Regionen tätig sind, zu schärfen.“
Ratschläge
F-Secure hat keine Hinweise oder Beweise für Angriffe außerhalb ihrer eigenen Forschung erhalten. Anbieter betroffener Produkte, die im Rahmen von Pwn2Own untersucht werden, werden vom Veranstalter ZDI zur Teilnahme an der Veranstaltung eingeladen, um Einzelheiten über die von den Teilnehmern gefundenen Schwachstellen zu erfahren. Dank dieses streng kontrollierten Offenlegungsverfahrens konnten Huawei, Xiaomi und Samsung die von F-Secure bei ihren Recherchen entdeckten Schwachstellen bereits beheben. Solange die Nutzer ihre Handys auf dem neuesten Stand halten, sollten sie vor diesen speziellen Angriffen sicher sein.
Im Folgenden finden Sie eine Liste der CVE- und Anbieter-Ratschläge im Zusammenhang mit der Untersuchung für alle, die mehr erfahren möchten, oder sie können sich einige der in den F-Secure Labs veröffentlichten Forschungsergebnisse ansehen:
Huawei Mate 9 Pro
CVE-2018-7931, CVE-2018-7932, CVE-2017-15308, CVE-2017-15309, CVE-2017-15310
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180423-01-app-en
Samsung Galaxy S9
CVE-2019-6741
https://security.samsungmobile.com/securityUpdate.smsb (SMR-JAN-2019/SVE-2018-13474)
Xiaomi Mi 9
CVE-2020-9530, CVE-2020-9531
https://sec.xiaomi.com/post/180
Kategorien