570 likes | 786 Views
Smartphone Security. Malware und Sicherheit für Android. Zur Person. Sebastian Bachmann Android Malware Analyst Analyse von Android Software Reverse Engineering Dynamische & Statische Analyse Pflegen der Signaturendatenbank für Android Seit Februar 2012 bei IKARUS. Agenda.
E N D
Smartphone Security Malware und Sicherheit für Android
Zur Person Sebastian Bachmann Android Malware Analyst • Analyse von Android Software • Reverse Engineering • Dynamische & Statische Analyse • Pflegen der Signaturendatenbank für Android Seit Februar 2012 bei IKARUS
Agenda Android Basics Malware für Android Schaden Vektoren Bedrohungsanalyse NumberCrunching & aktuelle Trends Demo IKARUS mobile.security
Das Android System In der Basis Linux Eigene Laufzeitumgebung für Programme (Dalvik) oder nativer Code (ARM, MIPS, x86, …)
Das Android System Interne Sicherheit durch Linux UIDs Jede App bekommt eine eigene UID & GID Shared IDs für Entwickler sind möglich (Beispiel: Mediaplayer und Encoderlib)
Berechtigungen Jede App muss Berechtigungen anfordern um Systemdienste zu verwenden Eine Berechtigung entspricht meist einer Linux GID 140 Berechtigungen von Android+ Herstellerspezifische Zum Teil zu ungenau definiert
Android IPC System Interprozesskommunikation gelöst durch „Intents“ App kann Receiver oder Provider stellen Broadcasts vs spezieller Aufruf • Broadcast „BOOT_COMPLETED“ • Speziell „Chrome: öffne http://www.ikarus.at“ GUI einer App kann über MAIN Intent abgerufen werden Intents können nicht zur Laufzeit angefordert werden Benötigen unter Umständen Berechtigung
Open Source Android ist Open Source Gerätetreiber sind jedoch meist Closed-Source Open Source bringt weitere Vorteile in Richtung Sicherheit • lesbar für alle (sowohl für White- als auch Blackhats) • Bugfixes können schneller umgesetzt werden • Größere Entwicklergemeinde Open Source kaum Anreiz Systeme zu „hacken“ „Security byobscurity“ vs „open system“
Android Sicherheit Auf den ersten Blick sieht Android sehr sicher aus Apps müssen • Berechtigung haben • Oder in der richtigen Gruppe sein Dazu kommt: • Normalerweise keine Installation außerhalb von Google Play • Honeycombstartet Apps nicht mehr automatisch nach der Installation • Strengere Kontrollen durch Google • App muss Zertifikat enthalten Trotzdem gibt es Malware für Android!
Venn http://www.xkcd.com/1180
Exploits und 0Days 0day == unbekannter Exploit Anzahl der 0days auf Android unbekannt „Statistisch 2-3 Fehler pro 1000 LOC“ • Android >1 Million LOC >2k Softwarefehler? Exploits reichen von SQL Injection bis zu Browser Exploits Mehrals 90% allerAngriffebasieren auf bekanntenLücken
Fakeinstaller / Trojaner vs Tarnen und Täuschen Spektrum von plumper Täuschung über kopierte Apps Ausnutzen von bekannten Namen und Logos Einziger Hinweis sind oft nur die angeforderten Berechtigungen
Rootkits Erlangen Rootrechte auf dem Gerät Installieren nativen Code Nativer Code sendet SMS oder Mails Der Code wird mit root-Rechten ausgeführt! Typisch für Botnetze & Spyware
Spyware Motto: Unentdeckt bleiben zB als Payload eines Trojaners Daher sehr oft „App bundled“ • zB Spiel + integrierte Spyware professionelle Spionage Software vs „Datenkrake“ Erkennung oft sehr schwer
Adware Finanzierung von Gratisapps Schätzungen gehen von >50% Adware im Google Play Store aus Hunderte Adware Netze • sehr viele Legitime • einige schwarze Schafe Infektionsweg durch Adware? Methoden • Bannerwerbung • Icons • Browsertheft • Pushnachrichten
Adware Push Werbung als Marketingstrategie • Es kann die Werbung in der App aktualisiert werden • Die Werbung kann personalisiert werden Zur Personalisierung werden Daten benötigt • IMEI dient zur Device Authentifizierung • GPS Daten • Telefonnummer (Land) • Display Daten • Allgemeine Geräte Informationen Kann man dem Adnetwork Provider vertrauen • … dass die Daten sicher behandelt werden? • … dass Standortdaten nicht länger gespeichert bleiben?
Adware Adware verhält sich oft wie ein Botnetz Erste Variante von Plankton unterstütze dynamisches Laden von .dex Files Adware mit C&C Struktur Chinesische Adwareläd im Hintergrund Apps herunter • Installiert diese • Bewertet sie mit 5 Sternen • Deinstalliert die App Keine Dokumentation dieser Funktionen!
Malware Today „malwareas a business“ • Entwickler sind längst keine „Spaßvögel“ mehr sondern hochbezahlte Programmierer die im Untergrund arbeiten • Auch geschulte Anwender werden überlistet • Sicherheitslücken werden kombiniert und ganze Exploit Kits entwickelt • USSD bleibt PoC – da man kein Geld verdient Trojaner, Wurm und Virus gibt es kaum noch Stichwort: Social Engineering, SpearPhising
Schaden für den Benutzer … Schaden kann nie direkt klassifiziert werden sondern richtet sich nach dem Benutzer Pushwerbung? • Für viele Menschen kein Schaden! • Nervige Werbung, Datenlogging Gesperrte SIM Karte? / Premium SMS? • Finanzieller Schaden SPAM sendende Rootkits? • Rechtliches Problem / Finanzieller Schaden Spyware? • Leak von IMEI bis hin zu Industriespionage / Überwachung
… ist Nutzen für den Entwickler Pushwerbung • Werbung, Provisionen, Malwarevertrieb (?) Gesperrte SIM Karte • KEIN Nutzen! Daher sind USSD Attacken nicht ITW! Premium SMS • Wieviel SMS kann Ihr Handy pro Minute senden? Do theMath! SPAM Rootkits • Blaue Pillen, Abzockseiten, … Spyware • Bewegungsprofil = Einbruch im Urlaub? • Überwachung, Online Banking, Zugangsdaten erbeuten, …
Ursachen für Malware Android möchte eine offene Plattform bieten Regulierungen sollen kaum vorgenommen werden Premium SMS == neumodischen Dialer Geringe Sensibilisierung der Gesellschaft Verbreitungswege sind noch offen All-in-One Geräte • Computer + UMTS + GSM + hohe Verfügbarkeit Extrem hohe Anzahl an Geräten (=potentielle Opfer)
Anwender Faktor Mensch ist nicht zu unterschätzen! Ein großer Teil von Malware benötigt manuelle Aktionen Fast jede Malware sagt durch ihre Berechtigung schon etwa aus was sie machen will ( zu ungenau!) Es ist trendy viele Apps installiert zu haben Blackbox: Doch was macht die App da eigentlich wirklich? Verständnis: „Die App braucht das Internet doch sicher zum aktualisieren“
Malware über den Tellerrand Aber nicht nur Android hat mit Malware zu kämpfen Jedes System wird früher oder später angegriffen Auch Industriesteueranlagen, Embedded Systems, Telefone, … sind von Malware betroffen „Staatstrojaner“: hohes Budget, die besten Entwickler, alle Möglichkeiten – Folge: Stuxnet, Flame, …
Apple iOS bisher nur 2 Fälle von Malware im AppStore Aber PUA ebenfalls stark präsent Strikte Regulierung durch Apple seit Einführung Apps können nur über AppStore bezogen werden Allerdings: JailbreakediPhones • Viele Fälle von Malware bekannt • Exploits für JailbreakediPhones • Es gibt wieder einen offenen, unkontrollierten Channel
Windows Mobile Meinung über Sicherheit gespalten Sicherheitsvorkehrungen lassen sich zum Teil umgehen Erste Malware innerhalb von wenigen Wochen gefunden Plattform noch zu wenig verbreitet Roter Oktober Malware installiert Spyware vom PC aus und nutzt dabei spezielle Windows Mobile Lücken
RIM BlackBerry Sichere Plattform, großes Ziel von RIM Trotzdem Malware, jedoch meist sehr speziell Betriebsspionage? Geringe Bekanntheit von Malware hat 3 Schlüsse: • Es gibt einfach keine • Sie wird nicht von den Findern veröffentlicht • Sie wird teuer verkauft und durch NDA geschützt
Nokia Symbian Erste Handy Malware wurde für Symbian entwickelt Dann große Welle an Symbian Schadsoftware Einführung von Sicherheitsmaßnahmen Diese wurden jedoch schnell überwunden
Vektoren Jede Technologie bietet einen neuen Angriffsvektor • NFC, Bluetooth, Joyn, Facebook, … Angreifer muss wissen welches Ziel er verfolgt: • Breite Masse angreifen Erfolgsrate <30% ist schon ausreichend • Einzelnes Ziel Erfolgsrate >95% muss gewährleistet sein! Infektion ist fast immer möglich, limitiert durch Zeit & Geld Social Engineeringimmer stärkere Komponente Wandel von SPAM Mails zum Browser Exploit
RootedPhones Erlauben es Programme als Superuser (root) auszuführen Spezielle App soll Missbrauch verhindern Lösung für Malware Entwickler:Anbieten einer legitimen App, welche die notwendigen Scripts bundled (zBTether App) Rooting stellt ein enormes Risiko dar da Sicherheitsfeatures komplett umgangen werden!
Customized ROMs Erlaubt große Anzahl an neuen Features Performancesteigerung durch weglassen von Google Services Bringt oftmals eigene Sicherheitsfeatures mit Können Sie einem Download trauen? Rooting erforderlich (kann aber abgeschaltet werden) Möglichkeit eigenes Firmen-Android zu entwickeln Problem der Wartbarkeit • Hardwareunterstützung • Softwaresupport
Noch mehr Probleme… Technische Sicherheitslücken werden oft als einziges Problem von technischen Geräten wahrgenommen Nicht-technische Sicherheitsprobleme • Verlorenes Smartphone (Data leakage) • Gestohlenes Tablet (Data leakage) • Gelöschte SD Karte (Data loss / datacorruption) • Defektes Gerät (Data loss / datacorruption) • … Gestohlene Geräte werden einfach weiter verwendet.Neuinstallation des Systems in den wenigsten Fällen!
Zum Beispiel: Data Leakage Daten werden an unbekannte Dritte weitergegeben Zustimmung in AGB Überwachung von Personen möglich • Genaue Standortprofile • Gesprächsprotokolle Betriebsspionage Staatliche Überwachung • Ägypten setzte FinSpy ein • Deutschland entwickelt „Bundestrojaner“ Rechtliche Grauzone!
Bedrohungsszenario In einer Firma werden AndroidSmartphones für die Mitarbeiter eingesetzt. So sollen Kontakte, E-Mails und andere Dienste auch Mobil besser verfügbar sein. Den Mitarbeitern wird nicht gestattet die Geräte privat zu verwenden. Ein Mitarbeiter hat noch ein altes Gerät, möchte aber nicht auf die Vorzüge eines Smartphones verzichten und verwendet das Gerät auch Privat. Weil das Gerät noch kein WLAN-Tethering unterstütz, wird es gerooted um eine Tetheringsoftware zu installieren.Das Smartphone wird auch verwendet um Online Banking TANs anzufordern, für Facebook und Online Spiele. Bei einem Kunden lässt er das Gerät am Tisch liegen, während sie beim Mittagessen sind.
Bedrohungsszenario Eines der Heruntergeladenen Spiele bringt einen Online Banking Trojaner mit Es werden mehrere Buchungen vom Konto durchgeführt und das Konto somit weit überzogen Auf Facebook wird ein Link zu einem vermeintlichen Update für Android verbreitet Dieses Update ist in Wirklichkeit eine App welche im Hintergrund an alle Kontakte SPAM Mails versendet Durch den Root zugriff können SMS Trojaner die Nachrichten ohne eine Berechtigung anzufordern senden Beim Kunden installiert jemand unentdeckt einen Datenlogger und legt das Gerät wieder zurück Die (Firmen-)Daten vom werden an den Angreifer gesendet
Bedrohungsanalyse Die gleichen Bedrohungen wie beim PC (Trojaner, Adware, Spyware, …) Zusätzlicher Faktor der Mobilität All-in-One – was machen sie alles mit ihrem Smartphone? Großes Angriffsspektrum durch viele Vektoren Always On – ermöglicht dauerhaften Internetzugriff Ein Smartphone hat annähernd die selbe Uptime wie ein Server! Einschränkungen in der Technik wollen vom Benutzer beseitigt werden Sehr hohes Vertrauen in die Technik „Es ist doch nur ein Telefon“
Android Malware 2012 1837% Anstieg 2011 zu 2012 von Mobile Malware Extremer Anstieg an PUA
Android Malware 2012 Sample Set: 43.000 Malware Apps Knapp 5000 Apps waren im Google Play Store erhältlich! Frage: Malware = ??? http://forensics.spreitzenbarth.de/2013/01/02/android-malware-summary-2012
10 Fragen für den Benutzer Lese ich alle Berechtigungen und weiß was sie bedeuten? Sind die App Bewertungen gut, gibt es schlechte Kommentare? Wie hoch ist die Anzahl der Downloads? Mache ich regelmäßige Updates von Apps und Android? Ist mein Virenscanner aktuell? Habe ich automatische Scanvorgänge aktiviert? Habe ich Premium Nummern bei meinem Provider sperren lassen? Ist das USB-Debugging auf meinem Gerät deaktiviert? Ist mein Gerät nicht gerootet / jailbreaked? Habe ich die installationvon unbekannten Anwendungen verboten?
10 Schritte für die Administration Sicherung des schwächsten Gliedes Oberflächliche Lösungen / Workarounds vermeiden Fehlermeldungen absichern Minimale Berechtigungen Berechtigungsgruppen nach Aufgaben KISS Vermeidung von Security byobscurity Überprüfung von allem, doppelt Sicherheit muss Nutzbar sein Awareness für die Benutzer schaffen
Android Security at a glance Android bringt viele Sicherheitsfeatures mit Malware versucht diesen gezielt auszuweichen Der Benutzer wird oft bei der Installation getäuscht Statistiken zeigen stark erhöhtes Aufkommen in 2012 Prognose für 2013: mehr Exploits, bessere Vertreibswege • „Entwicklerkindergarten“ - jetzt kommt die Volksschule Werbung ist nicht gleich Werbung Bedrohungen sind vielfältig Man kann sich schützen!
Demo • Der Benutzer läd sich auf einer Filesharing Seite die neue Version von „Angry Birds“ herunter
Demo • Diese wird nun installiert • Es sind dabei keine Berechtigungen angegeben
Demo • Die Anwendung wurde erfolgreich installiert
Demo • Nach dem starten stellt der User fest, dass es kein Angry Birds ist • Stattdessen hat er nur einen Downloader heruntergeladen • Ein Klick auf den Herunterladen Button und…
Demo • … eine SMS erreicht den Anwender
Demo Wie kann eine App ohne Berechtigungen so etwas machen? • Ausnutzen eines Exploits • Die SMS wurde nie von einem anderen Gerät gesendet • SMS wurde von der App nur ins Postfach gespeichert Im Worst Case versucht der Anwender nun das vermeintliche Abo zu kündigen More Sophistication ( = Social Engineering): • SMS nach zufälliger Zeit senden • Nach einiger Zeit Mahnungen senden • Echtes Angry Birds installieren
IKARUS mobile.security Virenscanner AdwareScanner URL-Filter SMS-Blacklist SMS-Fernsteuerung Kommt mittelfristig
Hauptfeature: Virenscanner Was wird gescannt? • Installierte Apps • Dateien auf der Speicherkarte Wann wird gescannt? • Manuell gestartet • Automatisch in geplanten Intervallen • Automatisch nach App-Installationen und wichtigen Änderungen auf Speicherkarte Was geschieht mit Infektionen? • Werden in Liste erfasst • Können vom Benutzer gelöscht werden • Können an IKARUS geschickt werden („in unserem Labor kostenlos analysieren“)