Was Sicherheitsexperten den Schlaf raubt

Woche 49: Warum man neugierigen Apps nicht alles erlauben sollte

Uhr
von Coen Kaat

Ein Botnetz fällt, ein anderes erhebt sich, Sicherheitsforscher machen sich das Leben schwerer, und die trügerische Sicherheit von HTTPS. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Andromeda ist nicht mehr. Das Botnetz, das zuletzt aus rund 1,3 Millionen täglich aktiven Bots bestand, ist zerschlagen. Dies meldet das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). An der Aktion waren etliche Organisationen beteiligt, neben dem BSI unter anderem auch die US-Bundespolizei FBI, Europol und die Joint Cybercrime Taskforce (J-CAT) sowie etliche Unternehmen aus der Privatwirtschaft, darunter etwa Eset und Microsoft.

Die Stilllegung von Andromeda – gelegentlich auch Gamarue oder Wauchos genannt – geht zurück auf einen anderen Schlag gegen Cyberkriminelle: Ende 2016 – vor fast exakt einem Jahr - legte eine vergleichbare internationale Koalition bereits das Botnetz Avalanche lahm.

Andromeda und Avalanche nutzten beide dieselbe Malware, um Rechner zu identifizieren. Diese heisst ebenfalls Andromeda. Als die Behörden im Dezember 2016 Avalanche den Stecker zogen, erwähnten sie gemäss Europol bewusst nichts von Andromeda. So konnten sie das Botnetz weiter beobachten und Betroffene darauf aufmerksam machen, dass ihre Rechner infiziert sind.

Das Botnetz Andromeda war seit 2011 aktiv, wie Bleepingcomputer berichtet. Besonders in den vergangenen Jahren wuchs es zu seiner massiven Grösse heran – pro Monat infizierten sich rund 1 Millionen Rechner. Allein im letzten Halbjahr sollen die Drahtzieher über Andromeda 80 unterschiedliche Malware-Familien verbreitet haben.

Wo ein Botnetz fällt, erhebt sich aber anscheinend ein neues. Der chinesische Sicherheitsanbieter Qihoo Netlab 360 warnt derzeit vor einem neuen Mirai-Ableger: dem IoT-Botnetz Satori. Der Name ist Japanisch für Erwachen und treffend gewählt. Gemäss dem Unternehmen tauchte das Botnetz diese Woche quasi aus dem Nichts auf. Und nach den ersten 12 Stunden hatte Satori bereits 280'000 Geräte infiziert.

Sicherheitsforscher wollen es anderen Sicherheitsforschern schwieriger machen

Einer Gruppe von Sicherheitsforschern ist wohl ein bisschen langweilig. Die Gruppe hat eine neue Verschleierungstechnik entdeckt. Diese könnte es Malware ermöglichen, die meisten gängigen Anti-Virus-Lösungen und forensischen Tools zu umgehen.

Die dateilose Angriffsmethode, genannt Process Doppelgänging, präsentierten Tal Liberman und Eugene Kogan diese Woche an der Black Hat Security Konferenz in London. Die Technik soll auf allen heutigen Versionen von Windows funktionieren – von Windows Vista bis Windows 10. Dabei nutzt sie eine Standard-Funktion des Betriebssystems.

Der Vorgang ähnele den bereits bekannten Process-Hollowing-Attacken. Dabei ersetzt ein Angreifer den Speicher eines legitimen Prozesses mit Schadcode, so dass dieser statt des ursprünglichen Codes läuft. Mittlerweile erkennen Anti-Virus-Lösungen dies jedoch, weswegen Process-Hollowing fast schon in Vergessenheit geraten ist.

Wie Process Hollowing im Detail funktioniert, erklärt der deutsche Sicherheitsforscher Karsten Hahn auf Youtube:

Process Doppelgänging geht nun zwar anders vor, verfolgt aber das gleiche Ziel. Die Methode nutzt NTFS Transactions, eine veraltete Implementierung des Windows Process Loader. In einem ersten Schritt wird eine ausführbare Datei geladen, die anschliessend teilweise mit Schadcode überschrieben wird. Nun muss noch ein Speicherabschnitt dafür erstellt werden.

Anschliessend sorgen die potenziellen Angreifer dafür, dass das NTFS-Dateisystem eine nicht komplett ausgeführte Aktion erkennt. Das resultiert darin, dass der Vorgang abgebrochen und sämtliche Änderungen Rückgängig gemacht werden.

Der Schadcode lässt sich aber über den normalen Process Loader wieder aufzurufen. Das manipulierte Programm scheint mit dem zuvor erstellten Speicherabschnitt zu korrespondieren und wird wiederhergestellt. Da nichts auf der Festplatte gespeichert wird, können Anti-Virus-Lösungen und auch moderne forensische Tools den Schadcode nicht erkennen.

Sicher ist sicher – aber nicht HTTPS

Das Kommunikationsprotokoll HTTPS sollte das Surfen im Internet eigentlich sicherer machen. Verschlüsselung und Authentifizierung sollten eigentlich ein gewisses Vertrauen zwischen Webserver und Webbrowser aufbauen.

Aus diesem Grund beharren auch immer mehr Entwickler auf die Transportverschlüsselung. Chrome und Firefox etwa warnen den Nutzer, wenn er kurz davor ist, ein Passwort nicht über HTTPS zu übermitteln. Der Nutzer erkennt es zudem am Schloss-Symbol, das neben der URL angezeigt wird. Als Konsequenz dessen nahm die Verwendung des Protokolls in den vergangenen Jahren signifikant zu.

Was allerdings auch zunimmt, ist die Anzahl Phishing-Attacken, die auf HTTPS-Websites gehostet werden. Im Vergleich zum Vorjahr häuften sich solche Fälle massiv, wie die Sicherheitsexperten von Phishlabs mitteilen. Von 3 Prozent aller untersuchten Phishing-Seiten auf 25 Prozent. Damit steige die Anzahl verschlüsselter HTTPS-Phishing-Seiten deutlich schneller als die Gesamtzahl aller HTTPS-Seiten.

Die Sicherheit trügt nämlich. HTTPS sorgt lediglich dafür, dass die Übertragung von Daten zwischen dem Nutzer und der Website verschlüsselt stattfindet – über die Vertrauenswürdigkeit der Website sagt HTTPS indes nichts aus. Daher ist das Protokoll für Betrüger auch ein gern gesehenes Mittel, um ihren Opfern ein falsches Gefühl der Sicherheit zu vermitteln.

Und warum man einer neugierigen App nicht alles erlauben sollte

Die Bitte um Zugriffsrechte, die jeweils vor dem erstmaligen Öffnen einer App erscheint, hat mittlerweile wohl den Stellenwert der altbekannten EULA erreicht: Man weiss, dass man es beachten sollte, und doch klickt man einfach möglichst rasch auf "Zustimmen".

Darum mag es auch nicht auffallen, wenn eine Tastatur-App nach der Installation sämtliche Berechtigungen anfordert, die sie überhaupt haben kann. Die App, um die es hier geht, heisst AI-Type. Die personalisierbare Tastatur des gleichnamigen israelischen Start-ups wurde weltweit bereits über 40 Millionen Mal heruntergeladen – auf Android und iOS.

Diese Berechtigung nutzte die App, um so ziemlich alles über seine Nutzer in einer Datenbank zusammenzutragen, was man überhaupt über die Nutzer herausfinden kann. Insgesamt handelt es sich um 557 Gigabyte an Daten. Entdeckt hat die Datenbank Kromtech, ein Sicherheitsanbieter mit Hauptsitz in den Vereinigten Arabischen Emiraten.

Von über 31 Millionen AI-Type-Nutzern fanden die Sicherheitsexperten in der Datenbank:

  • den vollständigen Namen, Telefonnummer und E-Mail-Adresse

  • den Namen und das Modell des Geräts, dessen Bildschirmauflösung und Details,

  • die Android-Version, die IMSI- und die IMEI-Nummer,

  • den Namen des mobilen Netzwerks, das Land des Wohnsitzes und die auf dem Gerät gewählte Sprache,

  • die IP-Adresse und GPS-Daten,

  • Links und Informationen zu Social-Media-Profilen, die mit dem Nutzer in Verbindung stehen, mitsamt Geburtsdaten, E-Mails und Bildern.

Gemäss Mitteilung sammelte die App auch Daten zu den Suchanfragen via Google sowie statistische Daten wie etwa die durchschnittliche Anzahl Nachrichten pro Tag, die Anzahl Wörter pro Nachricht oder die Anzahl Wörter pro Tag.

Und die App hat sogar noch ein weiteres As im Ärmel: Sie schnüffelt auch in der Kontaktliste auf dem Gerät herum. Dort sammelte die App die Namen und dazugehörigen Telefonnummern der Kontakte. 373 Millionen Datensätze soll die App so zusammengetragen haben.

Für alle, die selbst herausfinden wollen, was die App alles mitschnüffeln kann: Die App ist sowohl im Google Play Store als auch in Apples App Store noch erhältlich – in diversen kostenlosen und kostenpflichtigen Ausführungen.

Die Security-Beitragsreihe nimmt nach dieser Ausgabe eine kurze Auszeit. Ab Januar fasst die Redaktion wieder jede Woche die Neuigkeiten zu Cybercrime und Cybersecurity zusammen.

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_73343