Kommentar

Sidestepper - Phishing-Betrug als Sicherheitslücke vermarktet

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Seit kurzem kursieren wieder Berichte zu einer angeblich neuen iOS-Sicherheitslücke. Diese hätte das Potential, die Verbindung von Unternehmens-Endgeräten mit einem dahinter liegenden Mobile Device Management (MDM) zu "kapern". Was sich (nicht nur für Unternehmen) gravierend anhört, ist jedoch nur eine alte Geschichte, neu erzählt.
Das Phishing über mobile Endgeräte hat mittlerweile Hochkonjunktur. Dabei nutzen Hacker die Sorglosigkeit mancher Nutzer beim Umgang mit Smartphones aus.
Das Phishing über mobile Endgeräte hat mittlerweile Hochkonjunktur. Dabei nutzen Hacker die Sorglosigkeit mancher Nutzer beim Umgang mit Smartphones aus.
Foto: Shutterstock.com - wk1003mike

Der Sicherheitsanbieter Check Point hat auf der Sicherheitskonferenz Black Hat Asia 2016 Details zu einer angeblichen Sicherheitslücke unter iOS präsentiert. Diese als "Sidestepper" bezeichnete Lücke soll sich bei ahnungslosen Anwendern in die Kommunikation einhängen, Apps installieren und vieles mehr können. Dabei soll jedoch nicht Schluß sein, bei Unternehmens-Endgeräten soll sogar die komplette Vertrauenskette zwischen dem Mobile-Device-Management System (MDM) und dem Endgerät kompromittiert werden.

MDM-Systeme dienen der Verwaltung, Inventarisierung und dem Richtlinien-Management (auf Geräte/App Ebene) zur Härtung eines mobilen Endgerätes (Kennwort, Verschlüsselung,...) bzw. für Komfortfunktionen (Cache-Dienste für Software-Updates). Ein MDM-System wendet seine Möglichkeiten auf ein Endgerät als Ganzes an. Beachten Sie dabei, es erfolgt keine eigentliche Kommunikation bei einem MDM, es werden lediglich Konfigurationsprofile (unter anderem zur Konfiguration der Kommunikation) an das Endgerät gesendet.

Check Point zufolge kann ein Hacker unter Umständen die MDM-Anbindung kapern oder eine eigene imitieren. Dies würde die von Apple in iOS 9 integrierten Sicherheitstools aushebeln, so die Forscher weiter.

Wie soll das funktionieren?

Damit ein solcher Angriff gelingt, muß der Angreifer das Opfer dazu bringen, ein bösartiges Konfigurationsprofil zu installieren. Dies kann ihm per eMail oder als iMessage/SMS zugestellt werden. Wird das Profil durch das Opfer installiert (darauf klicken und Warnmeldung bestätigen) könnte der Hacker über dieses gefälschte Kommunikationszertifikate, Proxy Einstellungen oder sogar Apps (mit eigenem Entwicklerzertifikat) installieren. Dies ist möglich, da iOS diesen Befehlen vertraut und sie nicht weiter prüft, wenn das Opfer (der Anwender) diese initial bestätigt und damit dauerhaft freigegeben hat. Dabei können diese untergeschobenen Proxy Einstellungen und Kommunikationszertifikate genutzt werden, um einen Man-in-the-Middle-Angriff (MITM) auszuführen.

Ein MITM ist eine aktive Angriffsform, bei der sich ein Angreifer unbemerkt in die Kommunikation zwischen Sender und Empfänger einklinkt. Der Angreifer steht dabei entweder physisch oder logisch zwischen den beiden Kommunikationspartnern und lenkt deren Datenverkehr über seine eigenen Systeme um. Durch Analyse des Datenverkehrs kann er Schwachstellen in den Authentifizierungs- und Verschlüsselungsverfahren identifizieren und diese ausnutzen. Abhängig von den identifizierten Schwachstellen ist der Angreifer dann sogar in der Lage, verschlüsselte Verbindungen abhören sowie manipulieren. Um unentdeckt zu bleiben, täuscht er den beteiligten Kommunikationspartnern vor, der jeweils eigentliche Kommunikationspartner zu sein. Ihre Kommunikation kann also belauscht, manipuliert oder auch verhindert werden.

Ist das wirklich eine Sicherheitslücke?

Von dem, was ich gesehen, recherchiert und gelesen habe ist Sidestepper KEINE Sicherheitsheitslücke - im Gegenteil. Dass mit einem derart alten Thema (siehe auch ähnliche Meldung 2013: https://www.skycure.com/blog/malicious-profiles-the-sleeping-giant-of-ios-security/) eine (in meiner persönlichen Wahrnehmung) "Angstmacherei" betrieben wird und das Ganze, auch von der Presse, marketingreif aufbereitet wird, lässt mich fremdschämen.

Die angesprochenen Konfigurationsprofile können über ein MDM oder direkt auf einem iOS-Endgerät aufgespielt werden und dienen dazu, ein Richtlinien-Management durchzusetzen. Hierzu gehören beispielsweise Einstellungen für:

  • Konfiguration der Anbindung zur Kommunikation (z.B. Proxy, VPN, APN Einstellungen)

  • Verwaltung der Kommunikationsschnittstellen (z.B. Einstellungen für Cellular/Wifi)

  • Verwaltung der Geräteparameter (z.B. Gerätekennwort-Vorgaben)

Anwender (Opfer) werden mit der Installation eines solchen Konfigurationsprofils hinters Licht geführt, ich würde sagen: betrogen. Es darf aber dabei eines nicht vergessen werden, iOS hat genau dafür eine Sicherheitsabfrage eingebaut, um Anwender von potentiell schädlichen Inhalten zu warnen.

Zwischenfazit: iOS bietet Konfigurationsprofile an, um Einstellungen am System zentral vorzunehmen. Daher handelt es sich NICHT um eine Sicherheitslücke, es handelt sich um ein Feature von iOS, das mit einer Phishing-Attacke boshaft eingesetzt wird.

Was ist dieses "Phishing"?

Klarer wird die Sache, wenn man betrachtet, was Phishing ist. Phishing (zusammengesetzt aus "Password harvesting and fishing") stellt mittlerweile ein großes Problem, nicht nur im klassischen PC- Umfeld, dar. Was am PC per E-Mail allen bekannt ist, geho?rt inzwischen auch zum Alltag für mobile Lösungen. Beinahe jeder E-Mail-Nutzer hat schon Bekanntschaft mit betru?gerischen Nachrichten gemacht.

Neben dem Phishing über E-Mail erfolgt dies mittlerweile auch über weitere etablierte Kommunikationskanäle (z. B. Messenger, Social- Media Plattformen, SMS, Push-Benachrichtigungen etc.). Im Fall von E-Mail oder SMS erhalten Anwender eine Kurznachricht, die den Empfänger mit überzeugenden Argumenten dazu überreden will, eine kostenpflichtige Telefonnummer anzurufen oder einen Link zu öffnen. Meist versprechen die Angreifer dabei einen Gewinn, melden ein Problem mit der Kreditkarte, drohen mit einer Klage von Anwälten oder offerieren eine spezielle Funktion einer App.

Dies alles dient nur dazu, den Anwender zu überreden, der Aktion in der Nachricht Folge zu leisten. Besonderes Merkmal bei Phishing über E-Mail, im Gegensatz zu dem Vorgehen über SMS, ist, dass Handlungsdruck erzeugt wird. Es wird ein Drohszenario aufgebaut, in dem der Nutzer regelrecht gezwungen wird, z. B. seine Zugangsdaten einzugeben.

Im Social-Media Umfeld sind die Verfahren nicht anders. So stehen z. B. bei Facebook einige Anwendungen unter dem Verdacht, die Nutzer auf eine Website zu (ent-)führen. Ziel dieser fragwürdigen Webseite ist es dann, persönliche Zugangsdaten abzuschöpfen. Der attackierte Anwender sieht dabei meist einen Hinweis, dass jemand einen Kommentar auf eines seiner Postings hinterlassen hat. Öffnet der Anwender nun den im angegebenen Kommentar eingefügten Link, landet er auf eben diesen fragwürdigen Webseiten. Diese Seiten nutzen JavaScript und HTML5, um dem Anwender falsche Login-Seiten im Originaldesign vorzugaukeln, um den Anwender dazu zu verführen, seine Login-Daten einzugeben.

Gelangt eine solche Seite über diese Masche an die Zugangsdaten, werden nun zumeist zunächst die Kontakte der jeweiligen Person eingesammelt. Mit diesen Kontakten kann der Angreifer die nächste Stufe einleiten. Die Massenverteilung dieser Phishing E-Mails wird als Spam bezeichnet. Eben dieser Spam benötigt E-Mail Adressen zur Verbreitung. Durch Phishing wird aber nicht nur der Zugriff auf Adressen, sondern auch auf E-Mail Postfächer ergaunert. Eben diese Postfächer dienen im Anschluss für den Massenversand absurder Werbung. Auch stellen diese eine Quelle für weitere Phishing-Bedrohungen dar.

Sie sehen sicherlich die Parallelität zu dem vorliegenden Fall: Es gibt unterm Strich keinen Unterschied zwischen dieser angeblichen Sicherheitslücke und den vielen E-Mails, die Sie auffordern, Ihre nach Ihrem iCloud, Google Mail-Login, Kreditkarten- oder Amazon Kontodaten auf einer speziellen Webseite zu "überprüfen".

Phishing/Social Engineering-Angriffe haben zum Inhalt, jemandem Malware unterzuschieben. Damit dies auf iOS gelingt, erfolgt eine Systeminteraktion über mehrere Bildschirme hinweg. Ignoriert der Anwender (Opfer) die Warnungen und hält sich nicht an die Best-Practices im Umgang mit fremden Links, fängt er sich ein Konfigurationsprofil ein, dass seinen originären Zweck erfüllt. Konfigurationen auf dem Gerät einzuspielen.

Fazit: It's a Feature, not a Bug

Es gibt nun die Forderung, dass Apple den Anwender warnen soll, bevor Zertifikate oder Apps installiert werden. Aber wer bitte um alles in der Welt würde solche "Warnungen" noch lesen, wenn die vorherigen schon mit "WEITER" quittiert wurden?

Außerdem wäre dies nur ein weiterer Teil des ständigen Kampfes zwischen Bequemlichkeit und Sicherheit. Einige Nutzer beschweren sich über zu wenige und einige über zu viele Warnungen. In diesem speziellen Fall handelt es sich für mich um kein Sicherheitsgefährdung für den Anwender zu sein, sondern vielmehr ein durch den Anwender selbst verursachtes Problem.

Natürlich glaube ich das Check Point ein in ihren Augen berechtigtes Problem sieht. Die Frage ist nur "wo muß man das Gerät" und "wo muß man den Anwender" schützen. Meine Position habe ich hoffentlich dargelegt. Ungeachtet aller Meinungen, ein allgemeiner Rat gilt immer: informieren Sie sich, bleiben Sie kritisch und behalten Sie einen klaren Kopf. (mb)