Die Gefahr unsichtbarer Schadcodes

Was App-Entwickler aus Cloak and Dagger lernen können

| Autor / Redakteur: Mirko Brandner * / Stephan Augsten

App-Entwickler sollten sich nicht allein auf die Sicherheitsmechanismen der App-Marktplätze verlassen.
App-Entwickler sollten sich nicht allein auf die Sicherheitsmechanismen der App-Marktplätze verlassen. (Bild: edar - Pixabay.com / CC0)

Die „Cloak and Dagger“-Manipulationen unter Android unterstreichen: Entwickler sollten sich nicht zu sehr auf die Sicherheitskontrollen der App-Stores verlassen, wenn es darum geht, schädliche Fake-Versionen ihrer Applikationen vom offiziellen Markt fernzuhalten.

Sicherheitsforscher des Georgia Tech Institutes und der Universität von Kalifornien entdeckten Ende Mai einen gravierenden Designfehler im Android-Betriebssystem. Bei den „Cloak and Dagger“ getauften Android-Manipulationen können sich potenzielle Angreifer zwei an sich normale Android-Funktionen zunutze machen, um Tastatureingaben abzufangen oder Apps mit beliebigen Rechten zu auszustatten.

Das Problem ist, dass die Berechtigung „System_Alert_Window“ sich missbräuchlich verwenden lässt. Diese Funktion ermöglicht es, den Bildschirm einer App mit einem (unsichtbaren) Fenster zu überlagern. Auf diesem Wege könnte ein Angreifer wiederum die Funktion „BIND_ACCESSIBILITY_SERVICE“ alias a11y aktivieren, über die unsichtbare Eingaben an Android getätigt werden können.

In Kombination gewähren diese beiden Funktionen einem Angreifer umfangreiche Kontrolle über das betroffene Gerät, da es ihm nun möglich ist, Berechtigungen anzufordern und zu erteilen, ohne dass der Benutzer dies mitbekommt. Da die schädliche Absicht derart manipulierter Applikation nach außen hin jedoch nicht zu erkennen ist, schaffen es die „Wölfe im Schafspelz“ in den Google Play Store, wo sie von ahnungslosen Nutzern heruntergeladen werden und dann etwa die Einwahldaten beim Online-Banking ausspähen.

Im Fall von Cloak and Dagger hatten die Nutzer Glück: Nicht kriminelle Hacker sondern Sicherheitsforscher entdeckten die Sicherheitslücke und konnten Google über die Risiken informieren. Auch wenn der Designfehler erst ab der nächsten Android-Version vollständig aus der Welt geschafft sein wird, hat Google bereits heute seine Sicherheitsmaßnahmen zur Überprüfung neuer Applikationen verbessert.

Versteckte Schadcodes – auch ein Problem in offiziellen Stores

Das Problem mit manipulierten und mit schädlichen Codes ausgestatteten Apps ist an sich nicht neu, beschränkte sich bisher jedoch größtenteils auf inoffizielle Stores und Portale. Beim Download neuer und beliebter, in manchen Regionen jedoch noch nicht veröffentlichter Apps (man denke an die Pokémon-Go-Downloads aus zweifelhaften Quellen im vergangenen Jahr), sind sich die Nutzer des Risikos einer Infizierung wahrscheinlich bewusst.

Ähnliches gilt für Nutzer, die mittels Root oder Jailbreak elementare Sicherheitsmechanismen ihrer Betriebssysteme ausgehebelt haben, um Zugriff auf interne Funktionen zu erlangen: Sie vergrößern zwar die Fläche für Cyberangriffe, können sich mit ein wenig Hintergrundwissen aber auch besser schützen.

Umgekehrt durften sich verantwortungsbewusstere Nutzer, die die Geräteeinstellungen ihrer Devices unberührt lassen und Apps ausschließlich aus vertrauensvollen Stores herunterladen, vollkommen sicher fühlen. Dies haben Entwickler und Anbieter zumindest jahrelang behauptet, auch wenn es wie im Falle von XcodeGhost oder per Play Store verbreiteten Viren auch schon Gegenbeispiele gab.

Wie die „Cloak and Dagger“-Manipulation indes gezeigt hat, können sich Nutzer und Entwickler längst nicht mehr auf die Sicherheitsmaßnahmen der App-Stores verlassen. Immer wieder gelingt es Betrügern, ihre schadhaften Applikationen als reguläre Versionen beliebter Apps zu tarnen und erfolgreich an den Kontrollen der Stores vorbeizuschmuggeln.

Für den Kunden sind die gefährlichen Fake-Apps auf den ersten Blick indes kaum zu erkennen. Die kompromittierten Programme tragen nämlich nicht nur den gleichen Namen wie die Originale, sondern werden oft auch mit dem gleichen Symbol im Store platziert.

Aufsehen erregten vergangenes Jahr in den USA etwa hunderte von gefälschten Shopping-Apps, die in den gängigen Stores als offizielle Einkaufshelfer renommierter Marken wie z.B. Nike oder Adidas angeboten wurden. Während die harmloseren Varianten die unwissenden Kunden „nur“ mit eingebundener Werbung belästigten, hatten es einige bösartige Versionen jedoch auf die Kreditkartendaten der User abgesehen.

So werden Applikationen von Cyberkriminellen kompromittiert

Die Verbreitung von Fake-Anwendungen ist dabei jedoch nur die eine Seite. Wesentlich trickreicher und vor allem gefährlicher ist die Manipulation und Wiederveröffentlichung von offiziellen Applikationen. Um dies zu bewerkstelligen, muss sich ein Angreifer Zugang zum sensiblen Binärcode einer Applikation verschaffen.

Gerade mobile Apps sind für diese Art von Kompromittierung jedoch besonders anfällig, da sie in unkontrollierte und verteilte Umgebungen entlassen werden. Ist die App erst einmal in eine Sandbox-Umgebung versetzt und wird mit Angriffen bombardiert, ist es meist nur noch eine Frage der Zeit, bis die Hacker die Sicherheitsbarrieren überwunden haben.

Indem sie auf den Binärcode zugreifen und ihn modifizieren, sind die Hacker nun einerseits in der Lage, Sicherheitskontrollen außer Betrieb zu setzen oder firmeninterne Vorschriften, Lizenzbeschränkungen, Einkaufsbedingungen oder Display-Werbung zu umgehen. Andererseits können die Angreifer im Binärcode einen schadhaften Code ablegen, der es auf das betreffende Mobilgerät oder andere sensible Anwendungen abgesehen hat

In einem letzten Schritt werden diese „umverpackten“ Apps als neue, vermeintlich seriöse Anwendungen oder in Gestalt von Patches in Umlauf gebracht. Je nachdem, wie raffiniert die Hacker ihre Schadcodes versteckt haben, schaffen es diese Versionen auch in die offiziellen Stores.

Die Kontrolle zurückgewinnen

Für Software-Entwickler können die wachsende Bedrohung durch modifizierte Apps und die immer raffinierteren Angriffsmethoden der Cyberkriminellen letztlich nur eines bedeuten: Sie dürfen sich nicht mehr nur auf die Sicherheitskontrollen der App-Stores und herkömmliche Security-Maßnahmen verlassen, wenn sie die Kontrolle über die Sicherheit ihrer Anwendungen zurückerlangen wollen. Anstatt auf Sicherheitslösungen zu vertrauen, die einen Zaun um ihr Produkt ziehen, müssen sie das Thema Security selbst in die Hände nehmen und für einen adäquaten Schutz des App-Codes sorgen.

Die wohl effektivste Methode zum Schutz des Binärcodes ist dabei eine Kombination aus Verschleierungstechniken (Obfuscation) und Debugger-Detection-Maßnahmen. Erstere verwandeln Programmcodes und ihre Kontrollstrukturen in für Angreifer unlesbare Formen und erschweren auf diese Weise Reverse Engineering oder auch das Dekompilieren des zugrundeliegenden Bytecodes.

Anti-Debugging-Tools ermöglichen es der App zusätzlich, Sandbox-Umgebungen zu erkennen und Manipulationsversuche von Anfang an zu unterbinden. Zusätzlich empfiehlt sich der Einsatz von Prüfsummen (Checksums), wobei die Anwendung mit einer speziellen Logik ausgestattet wird, die es ihr ermöglicht, manipulative Veränderungen an Code und Daten aufzuspüren. Im Falle einer entdeckten Manipulation, d.h. wenn der Wert der zur Laufzeit berechneten Prüfsumme nicht mit dem vorab berechneten Wert übereinstimmt, kann die App Nutzer und Anbieter alarmieren bzw. automatisch geschlossen werden.

Mit Application Protection-Technologien wie diesen können Entwickler und Anbieter von Apps die Verantwortung für die Sicherheit ihrer Produkte selbst in die Hand nehmen und müssen nicht mehr auf die Sicherheitslösungen Anderer vertrauen. Die Versiertheit der Cyberkriminellen kennt schließlich keine Grenzen und so werden sie immer wieder Wege finden, Schwachstellen auszunutzen und Sicherheitsbarrieren von App-Stores zu überwinden. Die Entwickler können nun aber ihren Teil dazu beitragen, dass die Auswirkungen und Folgen dieser Angriffe so gering wie möglich bleiben.

* Mirko Brandner ist Technical Manager bei Arxan Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44839851 / Native Apps)