Der Sicherheitsanbieter Check Point hat auf der Sicherheitskonferenz Black Hat Asia 2016 Details zu einer angeblichen Sicherheitslücke unter iOS präsentiert. Diese als "Sidestepper" bezeichnete Lücke soll sich bei ahnungslosen Anwendern in die Kommunikation einhängen, Apps installieren und vieles mehr können. Dabei soll jedoch nicht Schluß sein, bei Unternehmens-Endgeräten soll sogar die komplette Vertrauenskette zwischen dem Mobile-Device-Management System (MDM) und dem Endgerät kompromittiert werden.
MDM-Systeme dienen der Verwaltung, Inventarisierung und dem Richtlinien-Management (auf Geräte/App Ebene) zur Härtung eines mobilen Endgerätes (Kennwort, Verschlüsselung,...) bzw. für Komfortfunktionen (Cache-Dienste für Software-Updates). Ein MDM-System wendet seine Möglichkeiten auf ein Endgerät als Ganzes an. Beachten Sie dabei, es erfolgt keine eigentliche Kommunikation bei einem MDM, es werden lediglich Konfigurationsprofile (unter anderem zur Konfiguration der Kommunikation) an das Endgerät gesendet.
Check Point zufolge kann ein Hacker unter Umständen die MDM-Anbindung kapern oder eine eigene imitieren. Dies würde die von Apple in iOS 9 integrierten Sicherheitstools aushebeln, so die Forscher weiter.
Wie soll das funktionieren?
Damit ein solcher Angriff gelingt, muß der Angreifer das Opfer dazu bringen, ein bösartiges Konfigurationsprofil zu installieren. Dies kann ihm per eMail oder als iMessage/SMS zugestellt werden. Wird das Profil durch das Opfer installiert (darauf klicken und Warnmeldung bestätigen) könnte der Hacker über dieses gefälschte Kommunikationszertifikate, Proxy Einstellungen oder sogar Apps (mit eigenem Entwicklerzertifikat) installieren. Dies ist möglich, da iOS diesen Befehlen vertraut und sie nicht weiter prüft, wenn das Opfer (der Anwender) diese initial bestätigt und damit dauerhaft freigegeben hat. Dabei können diese untergeschobenen Proxy Einstellungen und Kommunikationszertifikate genutzt werden, um einen Man-in-the-Middle-Angriff (MITM) auszuführen.
Ein MITM ist eine aktive Angriffsform, bei der sich ein Angreifer unbemerkt in die Kommunikation zwischen Sender und Empfänger einklinkt. Der Angreifer steht dabei entweder physisch oder logisch zwischen den beiden Kommunikationspartnern und lenkt deren Datenverkehr über seine eigenen Systeme um. Durch Analyse des Datenverkehrs kann er Schwachstellen in den Authentifizierungs- und Verschlüsselungsverfahren identifizieren und diese ausnutzen. Abhängig von den identifizierten Schwachstellen ist der Angreifer dann sogar in der Lage, verschlüsselte Verbindungen abhören sowie manipulieren. Um unentdeckt zu bleiben, täuscht er den beteiligten Kommunikationspartnern vor, der jeweils eigentliche Kommunikationspartner zu sein. Ihre Kommunikation kann also belauscht, manipuliert oder auch verhindert werden.
- Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent. - Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent. - Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent). - Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat. - Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken. - Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.
Ist das wirklich eine Sicherheitslücke?
Von dem, was ich gesehen, recherchiert und gelesen habe ist Sidestepper KEINE Sicherheitsheitslücke - im Gegenteil. Dass mit einem derart alten Thema (siehe auch ähnliche Meldung 2013: https://www.skycure.com/blog/malicious-profiles-the-sleeping-giant-of-ios-security/) eine (in meiner persönlichen Wahrnehmung) "Angstmacherei" betrieben wird und das Ganze, auch von der Presse, marketingreif aufbereitet wird, lässt mich fremdschämen.
Die angesprochenen Konfigurationsprofile können über ein MDM oder direkt auf einem iOS-Endgerät aufgespielt werden und dienen dazu, ein Richtlinien-Management durchzusetzen. Hierzu gehören beispielsweise Einstellungen für:
-
Konfiguration der Anbindung zur Kommunikation (z.B. Proxy, VPN, APN Einstellungen)
-
Verwaltung der Kommunikationsschnittstellen (z.B. Einstellungen für Cellular/Wifi)
-
Verwaltung der Geräteparameter (z.B. Gerätekennwort-Vorgaben)
Anwender (Opfer) werden mit der Installation eines solchen Konfigurationsprofils hinters Licht geführt, ich würde sagen: betrogen. Es darf aber dabei eines nicht vergessen werden, iOS hat genau dafür eine Sicherheitsabfrage eingebaut, um Anwender von potentiell schädlichen Inhalten zu warnen.
Zwischenfazit: iOS bietet Konfigurationsprofile an, um Einstellungen am System zentral vorzunehmen. Daher handelt es sich NICHT um eine Sicherheitslücke, es handelt sich um ein Feature von iOS, das mit einer Phishing-Attacke boshaft eingesetzt wird.
Was ist dieses "Phishing"?
Klarer wird die Sache, wenn man betrachtet, was Phishing ist. Phishing (zusammengesetzt aus "Password harvesting and fishing") stellt mittlerweile ein großes Problem, nicht nur im klassischen PC- Umfeld, dar. Was am PC per E-Mail allen bekannt ist, geho?rt inzwischen auch zum Alltag für mobile Lösungen. Beinahe jeder E-Mail-Nutzer hat schon Bekanntschaft mit betru?gerischen Nachrichten gemacht.
Neben dem Phishing über E-Mail erfolgt dies mittlerweile auch über weitere etablierte Kommunikationskanäle (z. B. Messenger, Social- Media Plattformen, SMS, Push-Benachrichtigungen etc.). Im Fall von E-Mail oder SMS erhalten Anwender eine Kurznachricht, die den Empfänger mit überzeugenden Argumenten dazu überreden will, eine kostenpflichtige Telefonnummer anzurufen oder einen Link zu öffnen. Meist versprechen die Angreifer dabei einen Gewinn, melden ein Problem mit der Kreditkarte, drohen mit einer Klage von Anwälten oder offerieren eine spezielle Funktion einer App.
Dies alles dient nur dazu, den Anwender zu überreden, der Aktion in der Nachricht Folge zu leisten. Besonderes Merkmal bei Phishing über E-Mail, im Gegensatz zu dem Vorgehen über SMS, ist, dass Handlungsdruck erzeugt wird. Es wird ein Drohszenario aufgebaut, in dem der Nutzer regelrecht gezwungen wird, z. B. seine Zugangsdaten einzugeben.
Im Social-Media Umfeld sind die Verfahren nicht anders. So stehen z. B. bei Facebook einige Anwendungen unter dem Verdacht, die Nutzer auf eine Website zu (ent-)führen. Ziel dieser fragwürdigen Webseite ist es dann, persönliche Zugangsdaten abzuschöpfen. Der attackierte Anwender sieht dabei meist einen Hinweis, dass jemand einen Kommentar auf eines seiner Postings hinterlassen hat. Öffnet der Anwender nun den im angegebenen Kommentar eingefügten Link, landet er auf eben diesen fragwürdigen Webseiten. Diese Seiten nutzen JavaScript und HTML5, um dem Anwender falsche Login-Seiten im Originaldesign vorzugaukeln, um den Anwender dazu zu verführen, seine Login-Daten einzugeben.
Gelangt eine solche Seite über diese Masche an die Zugangsdaten, werden nun zumeist zunächst die Kontakte der jeweiligen Person eingesammelt. Mit diesen Kontakten kann der Angreifer die nächste Stufe einleiten. Die Massenverteilung dieser Phishing E-Mails wird als Spam bezeichnet. Eben dieser Spam benötigt E-Mail Adressen zur Verbreitung. Durch Phishing wird aber nicht nur der Zugriff auf Adressen, sondern auch auf E-Mail Postfächer ergaunert. Eben diese Postfächer dienen im Anschluss für den Massenversand absurder Werbung. Auch stellen diese eine Quelle für weitere Phishing-Bedrohungen dar.
Sie sehen sicherlich die Parallelität zu dem vorliegenden Fall: Es gibt unterm Strich keinen Unterschied zwischen dieser angeblichen Sicherheitslücke und den vielen E-Mails, die Sie auffordern, Ihre nach Ihrem iCloud, Google Mail-Login, Kreditkarten- oder Amazon Kontodaten auf einer speziellen Webseite zu "überprüfen".
Phishing/Social Engineering-Angriffe haben zum Inhalt, jemandem Malware unterzuschieben. Damit dies auf iOS gelingt, erfolgt eine Systeminteraktion über mehrere Bildschirme hinweg. Ignoriert der Anwender (Opfer) die Warnungen und hält sich nicht an die Best-Practices im Umgang mit fremden Links, fängt er sich ein Konfigurationsprofil ein, dass seinen originären Zweck erfüllt. Konfigurationen auf dem Gerät einzuspielen.
Fazit: It's a Feature, not a Bug
Es gibt nun die Forderung, dass Apple den Anwender warnen soll, bevor Zertifikate oder Apps installiert werden. Aber wer bitte um alles in der Welt würde solche "Warnungen" noch lesen, wenn die vorherigen schon mit "WEITER" quittiert wurden?
Außerdem wäre dies nur ein weiterer Teil des ständigen Kampfes zwischen Bequemlichkeit und Sicherheit. Einige Nutzer beschweren sich über zu wenige und einige über zu viele Warnungen. In diesem speziellen Fall handelt es sich für mich um kein Sicherheitsgefährdung für den Anwender zu sein, sondern vielmehr ein durch den Anwender selbst verursachtes Problem.
Natürlich glaube ich das Check Point ein in ihren Augen berechtigtes Problem sieht. Die Frage ist nur "wo muß man das Gerät" und "wo muß man den Anwender" schützen. Meine Position habe ich hoffentlich dargelegt. Ungeachtet aller Meinungen, ein allgemeiner Rat gilt immer: informieren Sie sich, bleiben Sie kritisch und behalten Sie einen klaren Kopf. (mb)