Bild: Unsplash
Moderne mobile Geräte sind sehr komplex und bieten Angreifern die Möglichkeit, Angriffe zu starten. Alles, von Wi-Fi und Bluetooth bis hin zu Lautsprecher und Mikrofon, kann zum Jailbreak Ihres Smartphones verwendet werden .
Analysten von Positive Technologies haben eine Studie zu gängigen Szenarien für Angriffe auf mobile Geräte und Anwendungen veröffentlicht. In
unserem Artikel - die wichtigsten Punkte dieses Dokuments.
Wie mobile Geräte und Apps angegriffen werden
Es gibt fünf Hauptangriffsszenarien. Unter ihnen:
- Physischer Zugang . Wenn das Telefon gestohlen wurde oder verloren ging, gab der Besitzer es dem Dienst oder schloss es an ein gefälschtes USB-Ladegerät an - all dies eröffnet die Möglichkeit eines Angriffs.
- Schädliche Anwendung auf dem Gerät . Manchmal können solche Anwendungen sogar aus offiziellen Quellen, Google Play und dem App Store (für Android , für iOS ) auf das Gerät zugreifen .
- Angreifer im Kommunikationskanal . Durch die Verbindung mit einem nicht vertrauenswürdigen WLAN, Proxyserver oder VPN werden wir anfällig für Angriffe im Kommunikationskanal.
- Fernangriffe . Ein Angreifer kann remote handeln und mobile Anwendungsserver oder andere Dienste verwenden, um einen Exploit bereitzustellen.
- Serverseitige Angriffe . Abgesehen von allem anderen können wir Angriffe auf die Serverseite mobiler Anwendungen in Betracht ziehen, da der Angreifer in diesem Fall keinen Zugriff auf das Gerät benötigt.
Lassen Sie uns detaillierter auf die einzelnen Optionen eingehen und mögliche Möglichkeiten zum Schutz vor solchen Angriffen erörtern.
Es gibt mehrere Hauptszenarien für physische Zugriffsangriffe. In der Regel implizieren sie den direkten Zugriff einer Person auf ein Smartphone: Dies geschieht, wenn das Gerät gestohlen wird, der Besitzer es verloren hat oder es zum Dienst gebracht hat. Es gibt jedoch auch eine eher ungewöhnliche Angriffsmethode, für die eine böswillige Ladestation verwendet wird. Betrachten wir es.
Die Ladestation, an die Sie Ihr Smartphone über USB anschließen, ist möglicherweise nicht ganz sicher. Für moderne Versionen von Android und iOS OS ist beim Zugriff von einem Smartphone auf einen PC über USB die Berechtigung zum Zugriff auf das Gerät erforderlich. Dies war jedoch unter Android 4.0 und niedriger nicht erforderlich. Wenn solche Geräte an Ladestationen angeschlossen werden, die von Hackern kompromittiert oder installiert wurden, bietet sich daher die Möglichkeit eines Angriffs. Ihr Drehbuch könnte folgendermaßen aussehen:
- Android 4.0 USB.
- USB-.
- adb install malware.apk, .
- adb am start com.malware.app/.MainActivity .
- , root . , (, , ) , .
Achten Sie zunächst darauf, dass Sie Ihr Telefon und Tablet nicht an öffentlichen Orten unbeaufsichtigt lassen. Stellen Sie sicher, dass Sie ein Passwort festlegen, um Ihr Gerät zu entsperren, oder aktivieren Sie die biometrische Sicherheit, wenn möglich. Erhöhen Sie die Berechtigungen nicht auf Administratorrechte (Jailbreak oder Root), sondern deaktivieren Sie die Anzeige von Benachrichtigungen auf dem gesperrten Bildschirm.
Angriffe mit bösartigen Anwendungen
Es gibt verschiedene Quellen für solche Anwendungen:
- Offizielle App Stores - Google Play und App Store. Selten, aber selbst auf offiziellen Märkten, finden Sie eine bösartige Anwendung, die Ihnen und Ihren Daten schaden kann. Oft versuchen diese Apps , mehr Installationen mit Clickbait-Namen wie "Super Battery", "Turbo Browser" oder "Virus Cleaner 2019" zu erhalten.
- (third-party appstore). Android- , apk- . iOS- Safari, , .
- USB-.
- Android- — Google Play Instant.
Bei der Installation auf einem Smartphone haben böswillige Anwendungen abhängig von den erhaltenen Berechtigungen Zugriff auf einige gespeicherte Daten, Mikrofone, Kameras, Geolokalisierung, Kontakte usw. Sie können auch über Interprozess-Kommunikationsmechanismen (IPC / XPC) mit anderen installierten Anwendungen interagieren. Wenn die installierten Anwendungen Schwachstellen enthalten, die durch diese Interaktion ausgenutzt werden können, kann die böswillige Anwendung dies ausnutzen. Dies gilt insbesondere für Android-Geräte.
Darüber hinaus kann eine böswillige Anwendung versuchen, erhöhte Berechtigungen im System zu erlangen, indem sie Schwachstellen ausnutzt, die es ihr ermöglichen, Root-Berechtigungen oder Jailbreak zu erhalten.
Wie Sie sich schützen können
Zum Schutz vor solchen Angriffen wird empfohlen, zunächst die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen zu vermeiden. Anwendungen mit verdächtigen Namen sollten auch in offiziellen App Stores mit Vorsicht installiert werden, da keine Überprüfungen einwandfrei funktionieren. Halten Sie Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand, um sicherzustellen, dass keine bekannten Sicherheitslücken angegriffen werden.
Link-Angriffe
Damit ein Angreifer über den Kommunikationskanal operieren kann, muss er einen Man-in-the-Middle-Angriff ausführen, dh der gesamte zwischen der mobilen Anwendung des Clients und der Serverseite übertragene Datenverkehr wird über das Gerät des Angreifers übertragen. In Anwendungen, die solche Angriffe zulassen, treten manchmal Sicherheitslücken auf.
Beispielsweise überprüft die Clientanwendung normalerweise beim Herstellen einer sicheren Verbindung die Authentizität des Serverzertifikats und ob seine Parameter mit denen des Servers übereinstimmen. Manchmal deaktivieren Entwickler jedoch der Einfachheit halber bei der Arbeit an einer Anwendung solche Überprüfungen und vergessen, sie wieder in der Release-Version zu aktivieren. Infolgedessen akzeptiert die Anwendung jedes Serverzertifikat, um eine sichere Verbindung herzustellen, einschließlich des Zertifikats des Angreifers.
Selbst wenn die Zertifikate korrekt überprüft werden, hat der Angreifer immer noch eine Lücke: Unter einem Vorwand, das Opfer zu zwingen, das Zertifikat des Angreifers als vertrauenswürdiges Zertifikat auf seinem Gerät zu installieren. Wenn die Anwendung selbst sicher mit dem Server zusammenarbeitet, jedoch Links zu Ressourcen von Drittanbietern enthält, die über HTTP heruntergeladen wurden, besteht weiterhin die Möglichkeit für Phishing-Angriffe.
Wenn es einem Angreifer gelingt, die Kontrolle über den Datenverkehr zwischen der Clientanwendung und dem Server zu erlangen, bietet sich ihm eine Reihe von Möglichkeiten:
- Parodieren Sie Serverantworten, um beispielsweise Bank- oder Phishing-Details zu fälschen.
- Ersatzanwendungen für Kundenanwendungen, z. B. Ändern des Überweisungsbetrags und des Kontos des Empfängers;
- Abfangen von Daten wie Anmeldungen, Passwörtern, Einmalpasswörtern, Bankkartendaten und Transaktionsverlauf.
Infolgedessen lernt er die Anmeldungen und Passwörter des Opfers von verschiedenen Konten und kann sie verwenden, um Daten zu stehlen und Geld zu stehlen.
Wie Sie sich schützen können
Stellen Sie keine Verbindung zu fragwürdigen Zugriffspunkten her, verwenden Sie keine Proxy- und VPN-Server, denen Sie Ihren persönlichen Daten und Bankdaten nicht vertrauen. Installieren Sie keine Zertifikate von Drittanbietern auf dem Gerät.
In der Regel sind die meisten gängigen Instant Messenger- und Social Media-Anwendungen gut vor solchen Angriffen geschützt. Wenn sich beispielsweise plötzlich eine dieser Anwendungen weigert, über die aktuelle Wi-Fi-Verbindung zu arbeiten, kann dies bedeuten, dass dieser Zugangspunkt unsicher ist und es besser ist, die Verbindung zu ihm zu trennen, um andere Anwendungen, einschließlich Ihrer mobilen Bank, nicht zu gefährden.
Fernangriffe
Einige Schwachstellen in mobilen Anwendungen können remote ausgenutzt werden, ohne dass die Datenübertragung zwischen der Anwendung und dem Server kontrolliert werden muss. Viele Anwendungen bieten Funktionen für die Verarbeitung spezieller Links, z. B. myapp: //. Diese Links werden als Deeplinks bezeichnet und funktionieren sowohl unter Android als auch unter iOS. Das Klicken auf einen solchen Link in einem Browser, einer E-Mail-Anwendung oder einem Messenger kann das Öffnen der Anwendung auslösen, die solche Links verarbeiten kann. Der gesamte Link einschließlich der Parameter wird an die Handleranwendung übergeben. Wenn der Link-Handler Schwachstellen enthält, reicht es aus, das Opfer zu zwingen, dem böswilligen Link zu folgen, um sie auszunutzen.
Ebenso können vertraute Links http: // und https: // auf Mobilgeräten verarbeitet werden - sie können anstelle des Browsers an die Anwendung gesendet werden. In einigen Fällen kann dies ohne Bestätigung des Benutzers geschehen.
Bei Android-Geräten kann das Klicken auf den Link den Download der Instant App auslösen, wodurch die mit der Installation einer schädlichen Anwendung verbundene Sicherheitsanfälligkeit aus der Ferne ausgenutzt werden kann.
Wie Sie sich schützen können
Die rechtzeitige Installation von Anwendungs- und Betriebssystemupdates ist in diesem Fall die einzige Möglichkeit, sich selbst zu schützen. Wenn Sie das Update nicht installieren können oder es noch nicht veröffentlicht wurde, können Sie die Verwendung der betroffenen Anwendung vorübergehend einstellen: Deinstallieren Sie es von Ihrem Gerät oder melden Sie sich einfach ab.
Serverseitige Angriffe
Um einen mobilen Anwendungsserver anzugreifen, muss ein Angreifer in der Regel nur untersuchen, wie die Clientanwendung mit dem Server interagiert, und anhand der gesammelten Informationen zu Einstiegspunkten versuchen, Anforderungen zu ändern, um Schwachstellen zu erkennen und auszunutzen.
Oft unterscheidet sich das Gerät des Backends einer mobilen Anwendung nicht von einer Webanwendung. In der Regel sind mobile Anwendungsserver noch einfacher und stellen häufig JSON- oder XML-API dar. Sie funktionieren selten mit HTML-Markup und JavaScript, wie dies bei Websites häufig der Fall ist.
Wenn wir die Schwachstellen von Webanwendungen und das Back-End von mobilen Anwendungen vergleichen, stellen wir fest, dass die folgenden Schwachstellen in mobilen Anwendungen bestehen:
- unzureichender Schutz vor Brute-Force-Anmeldeinformationen: 24% der Webanwendungen und 58% der Server für mobile Anwendungen enthalten solche Sicherheitslücken.
- Geschäftslogikfehler: 2% der Webanwendungen und 33% der Server für mobile Anwendungen.
Unsere Forschung zeigt, dass Anwendungsbenutzer häufig auf die Daten anderer Benutzer zugreifen können: auf Kartennummern, Vor- und Nachnamen, Telefonnummern usw. Darüber hinaus kann der Zugriff fälschlicherweise sowohl im Namen eines anderen Benutzers als auch ohne Authentifizierung erfolgen, was darauf zurückzuführen ist das Vorhandensein von Schwachstellen bei der Authentifizierung und Autorisierung.
Wie Sie sich schützen können
In diesem Fall kann der durchschnittliche Benutzer nur wenig tun. Sie können jedoch das Risiko von Serverangriffen verringern, indem Sie ein sicheres Kennwort verwenden und die Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern in allen geschäftskritischen Anwendungen einrichten, die dies tun.
Um die Wahrscheinlichkeit eines erfolgreichen Angriffs auf eine mobile Anwendung zu minimieren, sollten die Entwickler die Machbarkeit jedes der beschriebenen Szenarien überprüfen. Bei der Entwicklung müssen verschiedene Modelle von Eindringlingen berücksichtigt werden, und einige Schutzmaßnahmen müssen in der Entwurfsphase getroffen werden.
Eine gute Empfehlung für Entwickler ist die Implementierung eines Sicherheitsentwicklungslebenszyklus (SDL) und die regelmäßige Überprüfung der Sicherheit der Anwendung. Solche Maßnahmen werden nicht nur dazu beitragen, potenzielle Bedrohungen rechtzeitig zu erkennen, sondern auch das Sicherheitswissen der Entwickler erhöhen, wodurch das Sicherheitsniveau der entwickelten Anwendungen langfristig erhöht wird. Gepostet
von Nikolay Anisenya, Leiter der Forschungsgruppe für Sicherheit mobiler Anwendungen bei Positive Technologies