Android: Angriff durch die Hintertür

18. April 2011, 17:51
93 Postings

Studie der TU-Graz zeigt: Kombination aus zwei Apps kann Berechtigungssystem des Google-Systems austricksen

Mit der rasant steigenden Verbreitung von Smartphones und der immer wichtigeren Rolle, die diese im digitalen Alltag einnehmen, werden Mobiltelefone natürlich auch zu immer lohnenderen Zielen für Attacken. Von diversen Online-Identitäten bis zu privaten Mails, Fotos und Dokumenten - alles läuft heutzutage vielfach auf jenem Gerät zusammen, bei dem die eigentliche Telefoniefunktion längst schon in den Hintergrund getreten ist.

Konzepte

Die gute Nachricht zuerst: Die diversen Softwarehersteller haben sich einiges einfallen lassen, um ihre Systeme vor Angriffen zu schützen, so sind Android, iOS und Co. von Haus aus zunächst mal deutlich sicherer als ein typisches Desktop-Betriebssystem. Das beginnt damit, dass Anwendungen hier typischerweise keinen Zugriff auf die Daten anderer Apps haben, und setzt sich etwa beim Beispiel Android bis zu einem recht ausgeklügelten Berechtigungssystem fort.

Permissions

Jede Anwendung muss dabei vor der Installation offen legen, auf welche Ressourcen sie Zugriff haben will. Die NutzerInnen können so selbst prüfen, ob diese Angaben tatsächlich Sinn machen. Will dann etwa ein neues Wallpaper plötzlich die GPS-Informationen auslesen, um den Standort der NutzerInnen in Erfahrung zu bringen, fällt schnell auf, dass etwas nicht stimmen kann.

Beispielhaft

Selbst angesichts der Erkenntnis, dass der Großteil der NutzerInnen die Liste der Berechtigungen einfach ignoriert, hat dieses System durchaus seine Meriten - und reale Auswirkungen, wie sich auch an konkreten Beispielen zeigen lässt. So hat vor kurzem ein Update für Transdroid - einer Android-Fernsteuerung für den Bittorrent-Client Transmission - für empörte Reaktionen gesorgt, nachdem dieses aus nicht nachvollziehbaren Gründen zusätzlich die Berechtigung zum Auslesen des Telefonstatus für sich reklamierte. Was folgte war eine Welle von negativen Bewertungen und Kommentaren im Android Market und schlussendlich ein Rückzieher des zuständigen Entwicklers. Selbst wenn die breite Masse der NutzerInnen also nicht viel auf die Berechtigungsinformationen gibt, profitiert sie hier doch von der Aufmerksamkeit Einzelner.

Ausgetrickst

All dies bringt natürlich nur dann etwas, wenn sich das Berechtigungsmodell nicht austricksen lässt. Ein Umstand, den aber nun eine aktuelle Studie in Frage stellt, die im Rahmen einer Lehrveranstaltung des IAIK der TU-Graz entstanden ist. Darin beschreibt man eine Methode, wie durch die Kombination mehrerer Apps die Transparenz des Permission-Systems umgangen werden kann.

Studie

Dabei macht man sich zunutze, dass Android-Anwendungen die für sie erteilten Berechtigungen nicht nur selbst nutzen, sondern auch als Service weiterreichen können. Was dies zur Folge hat, demonstriert man mithilfe von zwei Demo-Apps: Eine davon - etwa als legitime GPS-Software getarnt - verlangt lediglich die Berechtigung ACCESS_FINE_LOCATION, während die zweite ausschließlich den Zugriff auf das Internet haben will.

Die Kombination macht's

Einzeln betrachtet, könnte jede App für sich also keinerlei Schaden anrichten, die Programme erscheinen bei der Installation entsprechend vollkommen unverdächtig. Unbemerkt von den NutzerInnen kann die GPS-App allerdings über einen von ihr gestarteten Service die Location-Infos an das zweite Programm weiterreichen. Im Demo-Aufbau publiziert diese dann den Standort der NutzerInnen auf einem eigenen Twitter-Account, in der Realität würden sich AngreiferInnen die ausgelesenen Informationen wohl für eigene Zwecke zu nutze machen.

Realitäts-Check

Die entscheidende Hürde für einen solchen Angriff ist natürlich die NutzerInnen dazu zu bringen, gleich zwei Apps auf ihr Smartphone zu installieren, dies ist auch den Studien-AutorInnen durchaus bewusst. Insofern geht man auch auf real vorstellbare Szenarien ein: So könnte etwa ein entsprechender Service in eine populäre App eingebracht werden, etwa durch "InsiderInnen" oder auch ganz bewusst durch den Hersteller selbst, auch auf Manipulationen durch staatliche Stellen verweist man dabei. Auf diese Weise würde quasi ein "Backdoor" geschaffen, über das Dritt-Anwendungen unbemerkt Zugriff auf sensible Informationen erhalten könnten - die Vertrauenswürdigkeit des Android-Berechtigungsmodells wäre in Folge nicht mehr gegeben.

Tarnung

Für AngreiferInnen biete ein solcher Ansatz zudem einen entscheidenden Vorteil: Die Chance enttarnt zu werden, sei wesentlich geringer. So könnte man den konkreten Schadcode in Apps verstecken, die von ihren eigenen Berechtigungen her vollkommen unauffällig sind - und deswegen auch bei Untersuchungen des Android Markets schnell als unbedenklich abgetan würden.

Maßnahmen

Freilich hat man sich in der Studie nicht nur mit Angriffsszenarien sondern auch mit möglichen Gegenmaßnahmen beschäftigt. Das Kernproblem hat man darin ausgemacht, dass die UserInnen bei der Installation zwar über die vergebenen Berechtigungen aber nicht über die von einer App gestarteten Services informiert werden. Diese wären zwar über einen Prozessmanager sichtbar, und müssen sogar im Manifest-File, mit dem jedes Android-Programm beschrieben wird, angegeben werden, für die breite Masse der NutzerInnen seien sie aber nicht ausmachbar. Ein denkbarer Lösungsansatz wäre, dass Apps künftig auch für die Aufnahme der Verbindung zu einem lokalen Service explizit Rechte anfordern müssen.

Ergebnisse

Angemerkt sei dabei, dass es sich beim oben Erwähnten derzeit noch um vorläufige Ergebnisse der Untersuchungen der TU-Graz handelt. Weitere Informationen sowie die vollständigen Studien sollen Mitte Mai im Rahmen der Mobisec 2011 Konferenz präsentiert werden. (apo, derStandard.at, 18.04.11)

Der WebStandard auf Facebook

  • Das Berechtigungsmodell von Android informiert vor der Installation auf welche Funktionen eine App künftig Zugriff hat. Eine Studie der TU-Graz zeigt nun, dass sich diese Transparenz über die Kombination von zwei Programmen aushebeln lässt.
    screenshot: andreas proschofsky

    Das Berechtigungsmodell von Android informiert vor der Installation auf welche Funktionen eine App künftig Zugriff hat. Eine Studie der TU-Graz zeigt nun, dass sich diese Transparenz über die Kombination von zwei Programmen aushebeln lässt.

Share if you care.