Mobile Security: Sicherheitsbedrohungen jenseits von Malware

Malware ist beim Thema Mobile Security längst nicht mehr die größte Bedrohung. Daten-Lecks und unsichere Apps stellen eine ebenso große Gefahr dar.

Manchmal hören wir militärisches Führungs-Personal besorgt von „den Schlachten des vergangenen Kriegs“ sprechen. Security-Profis rund um den Erdball begehen denselben Fehler, wenn es um die Sicherheit mobiler Geräte geht. Sie halten an Strategien und Taktiken fest, die sich in der Vergangenheit bewährt haben, auch wenn die Umstände heute komplett anders sind.

Mobile Geräte repräsentieren eine einzigartige und sich schnell entwickelnde Angriffsfläche. Android- und iOS-Geräte bahnen sich unaufhaltsam den Weg in die Unternehmen und werden entsprechend auch mehr und mehr in Business-Umgebungen integriert. Deswegen versuchen CISOs, effiziente Schutzmaßnahmen einzuführen, fokussieren sich allerdings zu häufig darauf, den falschen Gegner zu bekämpfen. Eine effiziente Security-Strategie für mobile Geräte muss auch Daten-Lecks von Applikationen sowie fortgeschrittene Angriffe und Bedrohungen von innerhalb adressieren. Weiterentwickelte Angriffs-Techniken erfordern ein Umdenken und eine andere Herangehensweise an das Thema Security.

Malware für mobile Endgeräte wird immer besser

Schadcode wird nicht einfach verschwinden, auch wenn man sich heute um wesentlich mehr als nur um Malware kümmern muss. Angreifer werden Malware weiterhin einsetzen, um sensible Daten zu stehlen. Mit fortschreitender Entwicklung mobiler Geräte und digitaler Umgebungen wird sich aber auch Malware weiterentwickeln. Mit der weiteren Verbreitung von Virtualisierungs-Lösungen sehen wir auch bereits sehr ausgeklügelte Malware, die sich darauf einstellt. Die schädliche Software erkennt, ob sie in einer virtualisierten Umgebung ausgeführt wird, und ändert gegebenenfalls ihr Verhalten.

Weil mobile Endgeräte hochentwickelte Sensoren besitzen, sind einige Programme so designed, dass sie sich wie komplett normale und gutartige Anwendungen verhalten. Das gilt so lange, bis durch die Sensoren bestimmte Parameter erfüllt sind. Denken Sie dabei an das Konzept eines Hinterhalts: Sie installieren zum Beispiel einen Klon von Angry Birds aus einem nicht vertrauenswürdigen App Store. Diese Anwendung wird sich so lange wie ein ganz normales Spiel verhalten, bis die Geolokations-Sensoren des Smartphones angeben, dass Sie sich in einem Umkreis von 200 Metern beispielsweise des FBI-Hauptquartiers befinden. Zu diesem Zeitpunkt aktiviert sich dann der Schadcode und zeichnet alle in Reichweite befindlichen WLAN-Netzwerke und alle sichtbaren Bluetooth-Geräte auf.

Über Malware wird in den Medien aber inzwischen ausführlich berichtet, dabei handelt es sich also um einen eher vertrauten Gegner. Gerade Android-Geräte haben den Ruf, anfällig für Schad-Software zu sein. Der Grund liegt vor allem darin, dass auf Android-Geräten auch Apps installiert werden können, die nicht aus dem Google Play Store kommen. Cyberkriminelle haben außerdem clevere Wege entwickelt, Googles Security-Barrieren erfolgreich zu umgehen. Android-Malware mit Namen BadNews wurde letzten April in 32 Android-Apps gesichtet, die als Download via Google Play angeboten wurden. Die findigen Angreifer haben Googles Server-seitigen Bouncer-Scanner und die auf Android-Geräten lokale Verify Apps-Funktion umgangen, indem die Malware erst nach der Installation über ein Werbe-Netzwerk installiert wurde. Auf der RSA-Konferenz im Februar hat Google übrigens Pläne angekündigt, die Verify Apps-Funktion zu aktualisieren, um dann auf den Endgeräten auch Anwendungen zu überprüfen, die nicht aus dem Play Store heruntergeladen wurden. BadNews kann aber auch weitere Apps herunterladen. Vor allem auf dem russischen Markt wurden Anwender aufgefordert, „kritische Updates“ zu installieren, was letzten Endes in einen großangelegten SMS-Betrug mündete. Nachdem Google über die mutmaßliche Malware in Kenntnis gesetzt wurde, hat der Suchmaschinen-Gigant die betroffenen Apps natürlich sofort aus dem Play Store entfernt.

Laut Ciscos 2014 Annual Security Report hat 99 Prozent der mobilen Malware im Jahre 2013 Android-Geräte adressiert, allerdings erzählen die Zahlen bei genauem Blick eine etwas differenziertere Geschichte. Googles leitender Security-Techniker, Adrian Ludwig, hat im Oktober eine Studie zur Verfügung gestellt, in der 1,5 Milliarden App-Installationen analysiert wurden. Lassen Sie diese Zahl kurz auf sich einwirken – 1,5 Milliarden. Nur 1.200 davon wurden als möglicherweise schädlich erachtet. Das entspricht 0,00008 Prozent. Auch wenn Android also das Hauptziel von Malware ist, die absolute Anzahl von Angriffen ist vergleichsweise klein. Trotzdem Android mehr als andere mobile Betriebssysteme im Fokus von Malware liegt, hat der Marktanteil von Android in den vergangenen Monaten weiter rapide zugenommen und liegt bei Smartphones bei inzwischen knapp 80 Prozent.

Im Gegensatz dazu erlaubt Apple in der Regel keine Installationen von Anwendungen, die nicht aus dem hauseigenen App Store kommen. Damit ist es wesentlich schwieriger, Malware für iOS-Geräte zu verbreiten. Allerdings ist dieser „Goldene Käfig“ auch der Grund, warum viele Anwender zu Jailbreak-Techniken greifen und ihre Geräte knacken – was wiederum Malware Tür und Tor öffnet, manchmal sehr viel unmittelbarer als gedacht. Das kürzlich veröffentlichte evasi0n Jailbreak für iOS 7 zum Beispiel enthielt Berichten zufolge Malware. Die Entwickler wiesen die Anschuldigungen zurück, die sich tatsächlich als falsch herausstellten. Es besteht allerdings kein Zweifel, dass solche Jailbreak-Software Angriffs-Technologie enthalten könnte.

Anfällige Anwendungen und Daten-Lecks stellen ein erhöhtes Risiko dar

Auch wenn vor allem Malware die Medien-Aufmerksamkeit auf sich zieht, Security-Experten wissen längst, dass Malware nicht die einzige Bedrohung ist. Nur weil eine Anwendung mit dem Ziel entwickelt wurde, nicht bösartig zu sein, ist sie noch lange nicht sicher. Wer sich nur auf Malware konzentriert, der ignoriert eine allgegenwärtigere Bedrohung, die wesentlich seltener in den Fokus gerückt wird: Daten-Lecks aufgrund unsicherer Anwendungen.

Abbildung 1: 75 Prozent der iOS- und 59 Prozent der von viaForensics getesteten Android-Apps enthalten hohe Sicherheitsrisiken. Bild: viaForensics

Wir haben vor kurzer Zeit 100 populäre Anwendungen (50 iOS- und 50 Android-Apps) unter die Lupe genommen und auf Man-in-the-Middle- und SSL-Schwachstellen überprüft. Gleichzeitig wurden diese Apps darauf untersucht, ob Passwörter und andere sensible Daten im Arbeitsspeicher abgelegt werden. Dabei stellte sich heraus, dass die meisten Anwendungen in einer oder mehreren Kategorien mit der Risiko-Stufe „hoch“ deklariert werden mussten. Sie sehen das Ergebnis in Abbildung 1. Insgesamt wurden so 75 Prozent der iOS- und 59 Prozent der Android-Apps mit einem hohen Risiko bewertet.

Appthority hat eine ähnliche Studie durchgeführt und herausgefunden, dass 95 Prozent der kostenlosen Top-Anwendungen für Android und iOS mit Bedenken zu sehen sind und Risiken enthalten. Dabei scheint keine App-Kategorie immun zu sein. IOActive hat sich kürzlich 40 mobile Banking-Apps von den größten Finanz-Instituten angesehen. Laut den Experten sind auch in diesem Bereich 90 Prozent davon anfällig für Angriffe.

Fortschrittliche Gegenspieler greifen mobile Geräte an

Regierungen und andere hochentwickelte Gegner wie staatliche Einrichtungen etc. repräsentieren eine weitere wachsende Bedrohung im mobilen Bereich. Man hat zum Beispiel viel über die Athleten und die Presse bei den Olympischen Spielen in Sotschi gesprochen und welche Gefahren ihnen von russischen Kriminellen in Form von WLAN-Honeypot-Fallen und anderen Angriffsformen blühen. Die wirkliche Sorge war allerdings das allgegenwärtige Monitoring seitens der russischen Regierung, die alle E-Mails, Anrufe und SMS-Nachrichten überwacht hat, die von Sotschi aus versendet und getätigt wurden.

In China wiederum gehört Industrie-Spionage fast schon zum guten Ton, Malware ist dabei nur ein Mittel zum Zweck. In chinesischen ZTE-Smartphones, den Modellen Score M und Skate, hat man beispielsweise eine einprogrammierte „sync_agent“ Root-Backdoor gefunden. Vroot ist ein chinesisches Programm, das angeblich beim Rooten des Android-Geräts behilflich ist, und kann als weiteres Beispiel dienen, da es gleichzeitig einige Malware Huckepack mit sich bringt.

Android-Geräte können aber auch als getarntes Aufnahme-Gerät zum Einsatz kommen. Findige Cyberkriminelle sind so in der Lage, mit nur einem Knopfdruck wichtige Business-Meetings zu kompromittieren. Genauso lässt sich die Kamera eines Smartphones anzapfen. Alle IT-Profis wissen, dass Daten auf einem Smartphone alles andere als sicher sind. Die wenigsten sind sich allerdings darüber im Klaren, dass sich die Hardware des mobilen Endgeräts selbst zu einem Angriff missbrauchen lässt.

Mobile Device Management gegen den Feind von Innen

Eine umfassende Strategie für Mobile Security muss sich auch mit Bedrohungen aus dem Inneren der Organisation beschäftigen. Sich vor dieser Art Angriffen zu schützen ist bekanntlich alles andere als leicht, da sich mobile Endgeräte oft in vielen verschiedenen Netzwerken anmelden und sich auf beiden Seiten der Firewall befinden.

Einige Unternehmen haben in fortschrittliches Mobile Device Management investiert, womit sich zum Beispiel die Weiterleitung bestimmte E-Mails oder Dateien an irgendjemanden außerhalb eines zugewiesenen Netzwerks verhindern lässt, unter Umständen auch basierend auf den geografischen Ort. Smartphones verfügen zwar über eine Screenshot-Funktion, mit der sich MDM-Tools vielleicht umgehen lassen. Gute MDM-Lösungen sollten aber auch derartige Versuche verhindern können.

Proaktive Strategie basierend auf Mobile Security 2.0

Wie können Sie Ihr Unternehmen nun vor all diesen verschiedenen Bedrohungen schützen? Die schlechte Nachricht lautet, dass es trotz der fortschrittlichsten MDM-Lösungen kein Allheilmittel gibt. Trotzdem können Sie Ihre Unternehmenssicherheit natürlich durch bestimmte Schritte proaktiv verbessern. Zu häufig verlassen sich Security-Profis nämlich noch immer auf statische Signaturen, die allerdings nicht für die mobile Welt skalieren.

Stattdessen sollten Sie bei Ihrer Security-Strategie für mobile Endgeräte proaktiv eine defensive Haltung einnehmen. Dazu gehört zum Beispiel auch die Möglichkeit, die Pläne von feindlich gesinnten Individuen zu jedem Zeitpunkt des Angriffs durch Deaktivierung entsprechender Endgeräte durchkreuzen zu können. Reisen Sie in Länder, in denen Industrie-Spionage ein Risiko darstellt, sollten Ihre Angestellten vorher sämtlichen sensiblen Informationen vom mobilen Gerät löschen oder gleich unbelastete Ersatz-Geräte verwenden.

Zudem ist es für eine erfolgreiche Mobile Security-Strategie wichtig, die Sichtbarkeit zu erhöhen, also mobile Endgeräte und Anwendungen proaktiv zu überwachen. Dabei sollten Sie Folgendes im Auge behalten:

  • Was machen Angestellte auf Ihren Smartphones?
  • Wie werden unternehmenskritische Informationen gespeichert?
  • Wohin werden diese Daten verschickt?
  • Senden Mitarbeiter sensible Informationen via HTTP anstelle von HTTPS?

Mit diesem Fokus sollten Sie anschließend nach Verhaltens-Mustern und Anomalien Ausschau halten. Lädt ein bestimmter Anwender beispielsweise viele Daten in die Dropbox, nachdem die vierteljährlichen Finanz-Berichte gerade fertig gestellt sind? Das sind genau die Handlungen, über die Sie im Bilde sein sollten.

Unternehmen müssen sich an die Allgegenwärtigkeit mobiler Endgeräte am Arbeitsplatz anpassen. Ignorieren Sie die Bedrohungen, die davon ausgehen können, dann ist Ihre Organisation anfällig für Daten-Lecks. So verlieren Sie zudem das Vertrauen der Kunden und Umsatz und verstoßen im schlimmsten Fall gegen Compliance-Vorgaben. Security-Profis dürfen sich nicht mehr nur auf Malware versteifen und müssen proaktive Strategien entwickeln. Nur so können Sie den von mobilen Geräten ausgehenden Bedrohungen entgegenwirken. Cyberkriminelle schlafen nicht und werden ihre Angriffs-Methoden weiterentwickeln. Treten Sie hingegen auf der Stelle, verlieren Sie den Kampf mit Sicherheit.

Über den Autor: Andrew Hoog ist CEO und Mitgründer von viaForensics. Als Security-Spezialist und Informatiker hat er schon auf Konferenzen von großen Banken sowie auf diversen Security- und Forensik-Treffen Vorträge gehalten. Er ist der Autor zweier Bücher über Security: iPhone and  iOS Forensics und Android Forensics. Weiterhin hat er zwei Patente in den Bereichen Forensik und Daten-Wiederherstellung eingereicht. Hoogs hat einen „Bachelor of Arts“ in Informatik von der Saint Louis University und schließt einen „Master of Business Administration“ an der University of Chicago's Booth School of Business ab.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close