santiago silver - Fotolia

Android: Risiken und Funktionsweise von Privilege Escalation Exploits

Wie Android-Malware funktioniert, die Privilege Escalation Exploits ermöglicht und wie sich Unternehmen gegen diese Bedrohung schützen können.

Welches ist das gefährlichste Tool, das Cyberkriminelle für Angriffe auf Mobilgeräte einsetzen können? Ein starker Bewerber um diesen Titel ist Malware, die Privilege Escalation ermöglicht. Das ist ein Exploit, der dem Angreifer erweiterte Zugriffsrechte auf das Gerät gestattet. Ist dieser Zugriff erst einmal gewährt, hat der Angreifer freie Hand, um Smartphone und Tablet nach Lust und Laune zu manipulieren: einen Keylogger aktivieren, Anwendungen ohne Einverständnis des Nutzers installieren oder sogar in andere geschützte Anwendungen einbrechen, die auf dem Gerät laufen, darunter auch Unternehmens-Apps.

Neue Privilege-Escalation-Schwachstellen erobern derzeit die Schlagzeilen und Malware setzt mit zunehmender Regelmäßigkeit neue Techniken in-the-wild ein. Dieser schnell wachsenden Bedrohung ihrer mobilen Assets müssen sich Unternehmen bewusst sein. Das gilt insbesondere, da der Studie MobileIron Q4 2015 Mobile Security and Risk Review zufolge 95 Prozent der Unternehmen nicht über Schutzvorkehrungen gegen mobile Malware verfügen.

Zum besseren Verständnis, wie Angriffe mithilfe von Rechteausweitung funktionieren und Geräte erfolgreich infiziert werden, betrachten wir die Funktionsweise des Android-Betriebssystems. Android besteht aus drei Ebenen: der Linux-Kernel, der vollständige Kontrolle und Zugriff auf alle Teile des Mobilgeräts hat, bedient seine Treiber und hat Zugriff auf all seine Bibliotheken. Mit anderen Worten: der Kernel hat Root-Privilegien – analog zu den Administrator-Rechten bei Windows.

Über dem Kernel liegen die Android System Services, die über höhere Rechte verfügen, darüber die Nutzer-Applikationen. Jede Nutzer-Applikation ist in eine individuelle Sandbox-Umgebung – einen begrenzten Perimeter, in dessen Rahmen die App laufen darf – eingeschlossen.

Dadurch wird sowohl der Nutzer als auch die Integrität des Betriebssystems geschützt. Bestimmt werden die Grenzen der einzelnen Sandboxes durch den Nutzer sowie aufgrund interner Überlegungen: Bestimmte Funktionen können selbst Nutzer nicht gewähren; hierzu zählt der Keylogging-Zugriff. Die einzelnen Apps werden daran gehindert andere Apps zu stören, außer mithilfe dedizierter Schnittstellen, die von den System Services bereitgestellt werden. Eine Nutzer-App kann somit der Umgebung vertrauen, in der sie läuft.

Zerstörung der Sandbox

Eine Anwendung, die versucht, an zusätzliche Ressourcen oder Informationen heranzukommen, muss aus ihrer Sandbox-Umgebung ausbrechen, sprich ihre Rechte erweitern. Um vollständige Kontrolle über das Gerät zu erlangen, muss sie dieses Rooten und Root-Rechte erlangen.

Die meisten Methoden zum Rooten des Geräts nutzen Schwachstellen im Betriebssystem, in der Hardware oder in einzelnen Anwendungen aus. Und diese Schwachstellen treten relativ häufig auf: In den vergangenen sechs Monaten waren über die Hälfte der Android-Patches, die Google herausbrachte, dazu gedacht, Geräte vor Privilege Escalation Exploits zu schützen. Zwei neue hochkarätige Angriffe, bei denen dieser Vektor verwendet wurde, waren BrainTest und HummingBad.

Die BrainTest-Malware wurde im Sommer 2015 im Google Play Store entdeckt. Eingebettet in ein Spiel, das laut Google-Statistik zweimal bei Play erschien und jeweils 100.000 bis 500.000 Downloads verzeichnete, nutzte sie eine Bandbreite an Techniken zur Umgehung von Sicherheits-Scans. Ein anspruchsvolles Arsenal von vier verschiedenen Privilege Escalation Exploits installierte im Anschluss ein Rootkit auf dem Gerät. Selbst nachdem der Nutzer die App deinstalliert hat, bleibt es somit auf dem Gerät vorhanden.

HummingBad ist eine besonders raffinierte Angriffsform: ein persistenter mobiler Kettenangriff, der Nutzergeräte dazu bringt, betrügerische Apps herunterzuladen, die für die Angreifer Einnahmen generieren. Im Februar 2016 war HummingBad die weltweit sechsthäufigste verwendete Malware auf allen Geräten. Dies vermittelt eine Vorstellung für die Ernsthaftigkeit, mit der Hacker mobile Geräte angreifen, sowie für das explosionsartige Wachstum dieser Angriffe. 

Lückenhaften mobilen Schutz verbessern

Durch Installieren der von Google regelmäßig herausgegebenen Patches können Geräte vor Privilege-Escalation-Angriffen geschützt werden. Der Freigabezyklus dieser Patches kann jedoch extrem langsam sein und in vielen Fällen sogar zwei bis fünf Monate ab Entdeckung der Schwachstellen dauern. Aber selbst dann installieren und wenden Nutzer solche Patches nicht immer sofort an und schaffen damit ein noch größeres Fenster für Angriffsmöglichkeiten.

Einige MDM-Lösungen (Mobile Device Management) sind in der Lage, zu erkennen, wenn ein Gerät von einem Nutzer absichtlich gerootet wurde – jedoch können sie nicht immer erkennen, ob dies durch Malware erfolgte. Es gibt fortschrittlichere mobile Malware-Typen, die ihre Rooting-Aktivitäten verschleiern, um die Erkennung zu umgehen. Dies führt dazu, dass MDM im Kampf gegen Malware größtenteils ohne Wirkung ist.

„MDM-Lösungen sind im Kampf gegen Malware größtenteils ohne Wirkung.“

Michael Shaulov, Check Point

xxxx

Die beste Methode, Privilege Escalation Exploits auf Mobilgeräten zu stoppen, ist der Einsatz von Sicherheitsmaßnahmen, die bösartige Anwendungen bereits bei dem Versuch erkennen, ihre Rechte zu erhöhen. Da Apps der primäre Vektor dieser Exploits sind, die sich selbst in ein Gerät einbetten, muss eine wirkungsvolle Lösung in der Lage sein, verdächtige Apps zu untersuchen und in der Cloud unter Quarantäne zu stellen – bevor sie auf das Gerät heruntergeladen werden. Privilege Escalations werden mithilfe Cloud-basierter dynamischer Analysen erkannt, die Erkundungsversuche im Betriebssystem erkennen.

Durch Überwachung und Analyse möglicher Bedrohungsvektoren, sowohl auf dem Gerät, als auch in Anwendungen sowie im Netzwerk, lässt sich bestimmen, ob und wann eine Schwachstelle ausgenutzt wird. Auf diesem Weg kann die Bedrohung abgewandt werden, bevor Schaden entsteht. Das ist der richtige Weg.

Über den Autor:
Michael Shaulov ist Head of Mobility bei Check Point.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Mobile Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close