Zero Day Lücke
September 17, 2018
Security News
Oktober 16, 2018
Android Smartphones sind toll, können alles, sind preiswert – aber sind sie auch sicher? Google veröffentlicht regelmässig Sicherheitsupdates – aber kriegen die auch alle? Die letzten Updates wurden von Google anfangs September veröffentlicht und für die eigenen Pixel und Nexus Modelle ausgeliefert. Android wird aber noch von vielen anderen Herstellern für ihre Modelle gebraucht. Von diesen werden die Sicherheitsupdates meistens mit Verspätung oder gar nicht bereitgestellt. So liefert zwar Samsung für seine neusten und besten Modelle ein monatliches Update, für etliche Modelle jedoch nur alle 3 Monate wie das Galaxy A6 (2018). Welche Modelle ein Update erhalten, findet man auf der Samsung Webseite.
Gehackt oder alles in Ordnung
Im Rahmen eines Auftrages – mein Auftraggeber fühlte sich verfolgt und überwacht – analysierte ich ein Huawei MT7-L09 auf ein mögliches Fremdeinwirken. Dieses Huawei Modell wurde im dritten Quartal 2014 auf den Markt gebracht, damals mit Android 4. Aktuell ist Android 6.0 mit Android Sicherheitspatch-Ebene 01.06.2016 installiert – leider lieferte Huawei für dieses Modell keine Updates mehr. Somit ergeben sich per Dato 601 Sicherheitslücken, davon 40 mit dem maximalen CVE Score von 10.
Um zu beurteilen ob ein Mobiles Gerät gehackt wurde, empfiehlt es sich, diverse Punkte durchzugehen. Als erstes sollte man sicherstellen, dass das Android System nicht gerootet wurde. Dies würde einen erheblichen Eingriff bedeuten. Mit der App ‘Root Checker Basic’ kann überprüft werden, ob das System mit Root-Rechten ausgeführt wurde. Im vorliegenden Fall meldete der Check, dass das Gerät nicht gerootet wurde.
Weitere Punkte, die man nachprüfen sollte:
- Durchsicht der Apps und auf Auffälligkeiten überprüfen. Typische Spionage Apps sind z.B. FlexySpy und mSpy, Apps zum Rooten sind Supersu, BusyBox oder KingRoot.
- Entwickleroptionen sollten deaktiviert sein.
- Geräteadministrator auf unbekannte Apps überprüfen.
- Installation von unbekannten Quellen sollte deaktiviert sein.
- Apps mit Nutzungsdatenzugriff auf unbekannte oder ungewollte Apps überprüfen.
- Resultat von Play Protect (Play Store) sollte aktuell sein und keine gefährlichen Apps melden.
Da das Huawei keine Auffälligkeiten aufwies, wäre eigentlich eine weitere Überprüfung nicht nötig gewesen. Dennoch entschied ich mich, noch weitere Abklärungen zu machen.
Inside Forensik
In der forensischen Untersuchung geht es um eine erweiterte Untersuchung auf kriminelle Aktivitäten. Dazu gehört auch das Auslesen des Memories sowie die Durchsicht der internen Log-Dateien. Auf diese Punkte habe ich allerdings verzichtet, da der Aufwand zu gross gewesen wäre. Für eine solche Vorgehensweise ist zuerst ein handfester Verdacht notwendig. Diesen könnte eine Untersuchung der Netzwerkaktivität erbringen. Dazu eignen sich diverse Werkzeuge. Bekannt sind etwa Nmap als Portscanner, Wireshark als Tool zum vollständigen Aufzeichnen aller Netzwerk-Aktivitäten und Protokolle sowie Burp Suite zum Protokollieren der aufgerufenen Internetseiten. Eine umfangreiche Fall-Studie zur Android Forensik findet man übrigens unter anderem bei Angel Alonso.
Man in the Middle
Beim Man-in-the-Middle handelt es sich um einen klassischen Hackerangriff, in dem die übermittelten Daten auf den Hacker umgeleitet und ausgelesen werden. Somit eignet sich dieser Ansatz aber auch für die forensische Analyse. In meinem Fall habe ich dazu den Pineapple Wireless Router mit meinem Kali Linux verbunden, so dass vom Huawei die WLan-Daten mittels Pineapple über Kali Linux geschlauft ins Internet weitergeleitet wurden. Das Kali Linux Notebook stellt also sozusagen den Man-in-the-Middle dar. So war es möglich, mittels Nmap auf offene Ports zu testen, mittels Wireshark auf verdächtige Protokolle wie ssh oder telnet zu überprüfen und auf Burp Suite die aufgerufenen Internetseiten zu analysieren.
Fazit
Auf dem Huawei konnte ich kein Fremdeinwirken nachweisen. Soweit war alles normal. Obwohl Android 6.0 über 600 Schwachstellen aufweist, war wohl kein Hacker am Werk. Aber an dieser Stelle sei nochmals nachdrücklich gesagt, nur aktualisierte Geräte und Software bieten einen ausreichenden Schutz.
Ist ein iPhone in Sachen Sicherheit besser? Definitiv ja – und dies aus zwei Gründen. Apple bietet viel länger als Android Sicherheitsupdates. So erhält das aus dem Jahre 2013 stammende iPhone 5s das neue iOS 12. Ausserdem überwacht Apple seinen App Store auf unerwünschte Apps einiges besser als Google. So erstaunt es nicht, dass für Sicherheitslücken des aktuellen iOS mehr als eine Million bezahlt wird.
