Mobile Sicherheit - Angriffsmethoden

Per Definition ist ein Attack Vector ist eine Methode oder Technik, mit der ein Hacker Zugriff auf ein anderes Computergerät oder Netzwerk erhält, um einen häufig als "schlecht bezeichneten Code" einzufügen payload. Dieser Vektor hilft Hackern, Systemschwachstellen auszunutzen. Viele dieser Angriffsvektoren nutzen das menschliche Element, da es der schwächste Punkt dieses Systems ist. Es folgt die schematische Darstellung des Angriffsvektorprozesses, der von einem Hacker gleichzeitig verwendet werden kann.

Einige der mobilen Angriffsvektoren sind -

  • Malware

    • Virus und Rootkit

    • Anwendungsänderung

    • Betriebssystemänderung

  • Datenexfiltration

    • Daten verlassen die Organisation

    • Bildschirm drucken

    • Auf USB kopieren und Backup-Verlust

  • Datenmanipulation

    • Änderung durch eine andere Anwendung

    • Unentdeckte Manipulationsversuche

    • Geräte mit Gefängnisbruch

  • Datenverlust

    • Geräteverlust

    • Nicht autorisierter Gerätezugriff

    • Anwendungsschwachstellen

Folgen von Angriffsvektoren

Angriffsvektoren sind der Hacking-Prozess, wie erläutert, und er ist erfolgreich. Nachfolgend sind die Auswirkungen auf Ihre Mobilgeräte aufgeführt.

  • Losing your data - Wenn Ihr mobiles Gerät gehackt oder ein Virus eingeschleppt wurde, gehen alle Ihre gespeicherten Daten verloren und werden vom Angreifer übernommen.

  • Bad use of your mobile resources- Dies bedeutet, dass Ihr Netzwerk oder Mobilgerät überlastet sein kann, sodass Sie nicht auf Ihre Originaldienste zugreifen können. In schlimmeren Szenarien vom Hacker zum Anschließen eines anderen Computers oder Netzwerks verwendet werden.

  • Reputation loss- Falls Ihr Facebook-Konto oder Ihr geschäftliches E-Mail-Konto gehackt wird, kann der Hacker gefälschte Nachrichten an Ihre Freunde, Geschäftspartner und andere Kontakte senden. Dies könnte Ihren Ruf schädigen.

  • Identity theft - Es kann zu Identitätsdiebstahl wie Foto, Name, Adresse, Kreditkarte usw. kommen, und dieser kann für eine Straftat verwendet werden.

Anatomie eines mobilen Angriffs

Es folgt eine schematische Darstellung der Anatomie eines mobilen Angriffs. Es beginnt mit der Infektionsphase, die Angriffsvektoren enthält.

Gerät infizieren

Das Infizieren des Geräts mit mobiler Spyware wird für Android- und iOS-Geräte unterschiedlich durchgeführt.

Android- Benutzer werden dazu verleitet, eine App mithilfe von Social-Engineering-Angriffen vom Markt oder von einer Drittanbieteranwendung herunterzuladen. Eine Remote-Infektion kann auch durch einen MitM-Angriff (Man-in-the-Middle) durchgeführt werden, bei dem ein aktiver Gegner die Mobilkommunikation des Benutzers abfängt, um die Malware einzuschleusen.

iOS- Für eine iOS-Infektion ist ein physischer Zugriff auf das Mobiltelefon erforderlich. Das Infizieren des Geräts kann auch durch Ausnutzen eines Zero-Day-Exploits wie des JailbreakME-Exploits erfolgen.

Hintertür installieren

Für die Installation einer Hintertür sind Administratorrechte erforderlich, indem Android-Geräte gerootet und Apple-Geräte jailbreakt werden. Obwohl Gerätehersteller Mechanismen zur Erkennung von Rooting / Jailbreaking einsetzen, werden sie von mobiler Spyware leicht umgangen -

Android - Rooting-Erkennungsmechanismen gelten nicht für absichtliches Rooting.

iOS - Die jailbreaking "Community" ist lautstark und motiviert.

Umgehung von Verschlüsselungsmechanismen und Exfiltration von Informationen

Spyware sendet mobile Inhalte wie verschlüsselte E-Mails und Nachrichten im Klartext an die Angreifer-Server. Die Spyware greift den sicheren Container nicht direkt an. Es erfasst die Daten an der Stelle, an der der Benutzer Daten aus dem sicheren Container abruft, um sie zu lesen. In diesem Stadium, wenn der Inhalt für die Verwendung durch den Benutzer entschlüsselt wird, übernimmt die Spyware die Kontrolle über den Inhalt und sendet ihn weiter.

Wie kann ein Hacker von einem erfolgreich kompromittierten Handy profitieren?

In den meisten Fällen denken die meisten von uns, was wir möglicherweise verlieren können, wenn unser Handy gehackt wird. Die Antwort ist einfach - wir verlieren unsere Privatsphäre. Unser Gerät wird zu einem Überwachungssystem für den Hacker, der uns beobachtet. Andere Gewinnaktivitäten für den Hacker sind die Erfassung unserer sensiblen Daten, Zahlungen und illegale Aktivitäten wieDDoS attacks. Es folgt eine schematische Darstellung.

OWASP Mobile Top 10 Risiken

Wenn wir über mobile Sicherheit sprechen, stützen wir die Schwachstellentypen auf OWASP, eine gemeinnützige Organisation in den USA, die am 21. April gegründet wurde. OWASP ist eine internationale Organisation und die OWASP Foundation unterstützt die OWASP-Bemühungen auf der ganzen Welt.

Für mobile Geräte hat OWASP 10 vulnerability classifications.

M1-unsachgemäße Plattformnutzung

Diese Kategorie umfasst den Missbrauch einer Plattformfunktion oder die Nichtverwendung von Plattformsicherheitskontrollen. Dies kann Android-Absichten, Plattformberechtigungen, den Missbrauch von TouchID, den Schlüsselbund oder eine andere Sicherheitskontrolle umfassen, die Teil des mobilen Betriebssystems ist. Es gibt verschiedene Möglichkeiten, wie mobile Apps diesem Risiko ausgesetzt sein können.

M2-unsichere Daten

Diese neue Kategorie ist eine Kombination aus M2 und M4 von Mobile Top Ten 2014. Dies umfasst unsichere Datenspeicherung und unbeabsichtigten Datenverlust.

M3-unsichere Kommunikation

Dies umfasst schlechtes Handshake, falsche SSL-Versionen, schwache Verhandlungen, Klartextkommunikation sensibler Assets usw.

M4-unsichere Authentifizierung

Diese Kategorie erfasst die Begriffe Authentifizierung des Endbenutzers oder schlechte Sitzungsverwaltung. Dies beinhaltet -

  • Der Benutzer kann überhaupt nicht identifiziert werden, wenn dies erforderlich sein sollte
  • Fehler beim Aufrechterhalten der Benutzeridentität, wenn dies erforderlich ist
  • Schwächen im Sitzungsmanagement

M5-unzureichende Kryptographie

Der Code wendet Kryptografie auf ein vertrauliches Informationselement an. Die Kryptographie ist jedoch in gewisser Weise unzureichend. Beachten Sie, dass alles, was mit TLS oder SSL zu tun hat, in M3 enthalten ist. Wenn die App die Kryptografie überhaupt nicht verwendet, wenn dies erforderlich ist, gehört dies wahrscheinlich zu M2. Diese Kategorie ist für Probleme gedacht, bei denen Kryptografie versucht wurde, aber nicht korrekt durchgeführt wurde.

M6-unsichere Autorisierung

Dies ist eine Kategorie zum Erfassen von Autorisierungsfehlern (z. B. Autorisierungsentscheidungen auf der Clientseite, erzwungenes Durchsuchen usw.). Sie unterscheidet sich von Authentifizierungsproblemen (z. B. Geräteregistrierung, Benutzeridentifikation usw.).

Wenn die App die Benutzer in einer Situation, in der dies erforderlich ist, überhaupt nicht authentifiziert (z. B. anonymen Zugriff auf eine Ressource oder einen Dienst gewähren, wenn ein authentifizierter und autorisierter Zugriff erforderlich ist), handelt es sich um einen Authentifizierungsfehler und nicht um einen Autorisierungsfehler.

M7-Client Code Qualität

Dies waren die "Sicherheitsentscheidungen über nicht vertrauenswürdige Eingaben", eine unserer weniger genutzten Kategorien. Dies wäre das Allheilmittel für Implementierungsprobleme auf Codeebene im mobilen Client. Dies unterscheidet sich von den serverseitigen Codierungsfehlern. Dies würde Dinge wie Pufferüberläufe, Format-String-Schwachstellen und verschiedene andere Fehler auf Codeebene erfassen, bei denen die Lösung darin besteht, Code neu zu schreiben, der auf dem mobilen Gerät ausgeführt wird.

M8-Code-Manipulation

Diese Kategorie umfasst binäres Patchen, lokale Ressourcenänderung, Methoden-Hooking, Methoden-Swizzling und dynamische Speicheränderung.

Sobald die Anwendung an das mobile Gerät übermittelt wurde, befinden sich dort die Code- und Datenressourcen. Ein Angreifer kann entweder den Code direkt ändern, den Speicherinhalt dynamisch ändern, die von der Anwendung verwendeten System-APIs ändern oder ersetzen oder die Daten und Ressourcen der Anwendung ändern. Dies kann dem Angreifer eine direkte Methode bieten, um die beabsichtigte Verwendung der Software zum persönlichen oder finanziellen Vorteil zu untergraben.

M9-Reverse Engineering

Diese Kategorie umfasst die Analyse der endgültigen Kernbinärdatei, um deren Quellcode, Bibliotheken, Algorithmen und andere Assets zu bestimmen. Software wie IDA Pro, Hopper, otool und andere binäre Inspektionstools geben dem Angreifer Einblick in das Innenleben der Anwendung. Dies kann verwendet werden, um andere aufkommende Sicherheitslücken in der Anwendung auszunutzen und Informationen über Back-End-Server, kryptografische Konstanten und Chiffren sowie geistiges Eigentum preiszugeben.

M10-Fremdfunktionalität

Häufig enthalten Entwickler versteckte Backdoor-Funktionen oder andere interne Sicherheitskontrollen für die Entwicklung, die nicht für die Freigabe in einer Produktionsumgebung vorgesehen sind. Beispielsweise kann ein Entwickler versehentlich ein Kennwort als Kommentar in eine Hybrid-App einfügen. Ein weiteres Beispiel ist das Deaktivieren der 2-Faktor-Authentifizierung während des Tests.