Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

GatekeeperDie Schwachstelle SideStepper erlaubt bösartige Apps auf iPhone- und iPad-Geräten über Mobile Device Management (MDM)-Lösungen zu installieren. Das Mobile-Forschungsteam von Check Point fasste die Einzelheiten zu dieser Schwachstelle kurz zusammen.

Was ist SideStepper?

Durch SideStepper können Angreifer Sicherheitsmechanismen in iOS 9 umgehen, die Nutzer vor dem Installieren bösartiger Unternehmensapps schützen sollen. Diese erweiterten Mechanismen fordern normalerweise mehrere Veränderungen der Geräteeinstellung, damit einem Enterprise-Entwicklerzertifikat vertraut wird. Dies soll das versehentliche Installieren von bösartigen Apps erschweren.

Apps, die über das MDM installiert werden, sind jedoch von diesen Sicherheitsvorkehrungen ausgenommen. Ein Angreifer kann vertrauenswürdige MDM-Befehle auf einem iOS-Gerät sowie Over-the-Air-Installationen von Apps, die mit Enterprise-Entwicklerzertifikaten signiert sind, kapern und imitieren. Diese Ausnahme ermöglicht dem Angreifer die Umgehung der Sicherheitstools von Apple.

Auf welche Weise sind iPhones und iPads dieser Schwachstelle ausgesetzt?

Durch SideStepper können Angreifer Sicherheitsmechanismen in iOS 9 umgehen, die Nutzer vor dem Installieren bösartiger Unternehmensapps schützen sollen. Diese erweiterten Mechanismen fordern normalerweise mehrere Veränderungen der Geräteeinstellung, damit einem Enterprise-Entwicklerzertifikat vertraut wird. Dies soll das versehentliche Installieren von bösartigen Apps erschweren.

Apps, die über das MDM installiert werden, sind jedoch von diesen Sicherheitsvorkehrungen ausgenommen. Ein Angreifer kann vertrauenswürdige MDM-Befehle auf einem iOS-Gerät sowie Over-the-Air-Installationen von Apps, die mit Enterprise-Entwicklerzertifikaten signiert sind, kapern und imitieren. Diese Ausnahme ermöglicht dem Angreifer die Umgehung der Sicherheitstools von Apple.

Welche iOS-Geräte sind gefährdet?

Zunächst überzeugt ein Angreifer mithilfe eines Phishing-Angriffs einen Nutzer, ein bösartiges Konfigurationsprofil auf einem Gerät zu installieren. Diese einfache und in der Regel auch effektive Angriffsmethode nutzt vertraute Messaging-Plattformen, wie SMS, Instant Messaging oder E-Mails, um Nutzer dazu zu bringen, einem bösartigen Link zu folgen.

Ist das bösartige Profil installiert, kann ein Angreifer einen Man-in-the-Middle-Angriff (MitM) starten und die Kommunukation zwischen dem Gerät und der MDM-Lösung manipulieren. Der Angreifer kann MDM-Befehle kapern und imitieren, außerdem hat er die Fähigkeit, Unternehmensapps over-the-air zu installieren. Dies ist möglich, da iOS diesen Befehlen vertraut und sie nicht weiter prüft.

Wie kann man feststellen, ob das eigene iPhone oder iPad angegriffen wird?

Ohne eine erweiterte Lösung zur Erkennung und Minimierung mobiler Bedrohungen sind die Aussichten, dass ein Nutzer bösartige Verhaltensweisen bemerkt, gering.

Auf einem verwalteten iOS-Gerät wird Befehlen eines MDM vertraut. Der Nutzer kann nicht erkennen, ob die Befehle echt oder nur vorgespielt sind, der gesamte Prozess erscheint authentisch.

Welches Risiko besteht, wenn ein Angreifer die Schwachstelle auf meinem Gerät ausnutzt?

Es gibt eine Reihe von MDM-Befehlen, die ein Angreifer verwenden könnte, um die Schwachstelle für Störungen bis hin zur Datenexfiltration auszunutzen. Das Forschungsteam wird auf der Black Hat Asia demonstrieren, wie ein Angreifer bösartige Apps installieren kann, die ein breites Spektrum an Funktionen enthalten können.

Da iOS diese Apps als bekannt erkennt und der Installationsvorgang dem Nutzer so vertraut ist, erfolgt die Infektion problemlos und direkt. Diese Schwachstelle gefährdet die Nutzer, die Sicherheit sensibler Informationen auf dem Gerät sowie Gespräche in der Nähe des Geräts erheblich. Bösartige Apps können darauf ausgelegt sein:

  • Screenshots zu erfassen, auch von im Container erfasster Vorgänge
  • Tastenanschläge aufzuzeichnen, wodurch Anmeldedaten für private und geschäftliche Apps diebstahlgefährdet sind
  • Sensible Informationen, wie Dokumente und Bilder, zu speichern und an den Remote-Server eines Angreifers zu senden
  • Sensoren, wie Kamera und Mikrofon, fernzusteuern, was einem Angreifer ermöglicht, Ton und Bilder zu betrachten und aufzunehmen.

Wie kann man sich vor dieser Schwachstelle schützen?

Zur Minimierung des Risikos empfiehlt Check Point verschiedene Maßnahmen:

  • Unternehmen sind aufgefordert, eine Mobile Security-Lösung einzusetzen, die hochentwickelte mobile Bedrohungen erkennt und stoppt.
  • Sorgfältige Prüfung jeder Aufforderung zur Installation einer App, bevor man diese akzeptiert, um sicherzustellen, dass sie rechtmäßig ist.
  • Kontaktierung des Mobility-, IT- oder Sicherheitsteam für weitere Informationen zu der Frage, wie es verwaltete Geräte sichert.
  • Verwendung einer persönlichen Mobile Security-Lösung, die das eigene Gerät auf bösartiges Verhalten überwacht.

Check Points Mobile-Forschungsteam hat einen Bericht zusammengestellt, der eine detaillierte Analyse zu der Frage enthält, wie Angreifer die SideStepper-Schwachstelle auf iOS-Geräten ausnutzen können. Dieser kann hier heruntergeladen werden. Darüber hinaus wird es noch ein Demonstrationsvideo auf youtoube geben, auf Anfrage stellen wir Ihnen den Link gerne zur Einbettung in die Berichterstattung zur Verfügung. Bildmaterial kann auf Anfrage ebenfalls gerne zur Verfügung gestellt werden.


 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security