Was ist eine StrandHogg-Schwachstelle?

Samuel Bakken, 2. Dezember 2019
What is the StrandHogg Vulnerability?

Das BBC hat diese Woche einen Artikel veröffentlicht über eine gefährliche Sicherheitslücke im Android-Betriebssystem "StrandHogg". Sicherheitsforscher gehen davon aus, dass jede Android-App von der Sicherheitsanfälligkeit betroffen ist, die Angreifer ausnutzen können, um auf vertrauliche Daten zuzugreifen, Bankdaten zu stehlen und per SMS gesendete Anmeldecodes durchzuziehen. Sowohl gerootete als auch nicht gerootete Geräte mit Android, einschließlich Android 10, sind betroffen, und Angriffe auf StrandHogg können ohne Wissen des Benutzers erfolgen. Lesen Sie weiter, um mehr über StrandHogg, seine Auswirkungen und seine Bedeutung zu erfahren Sicherheit für mobile Apps im Allgemeinen und wie Sie Ihre mobilen Apps und Benutzer vor der Sicherheitsanfälligkeit schützen können.

Die StrandHogg-Sicherheitslücke und das Hijacking von Aufgaben in Android

StrandHogg Promon hat die Sicherheitsanfälligkeit StrandHogg benannt und bestätigt, dass die Sicherheitsanfälligkeit in allen Versionen von Android, einschließlich Android 10, vorhanden ist. Laut Promon waren 500 der beliebtesten Apps im Google Play Store anfällig - was zu der Hypothese führte, dass jede Android-App standardmäßig anfällig ist. In späteren Versionen von Android kann die Malware auch die Sicherheitsanfälligkeit ausnutzen, um einen gefälschten Anmeldebildschirm über eine authentische App einzufügen, ohne dass ein Benutzer dies weiß, und die Anmeldeinformationen des Benutzers zu sammeln.

Um es noch einmal zu wiederholen: Dies ist kein theoretischer Angriff oder etwas, das nur in einem Labor bewiesen wurde. Promon hat konkrete Hinweise darauf, dass Angreifer dieses Problem ausnutzen und ernsthaften Schaden anrichten - insbesondere in einem Fall einem Mobile-Banking-Benutzer. Mit der Möglichkeit, beispielsweise die Bankdaten eines Opfers zu stehlen und per Fernzugriff auf Sicherheitscodes zuzugreifen, die per SMS an dasselbe Opfer gesendet wurden, haben sie alles, was sie für den Zugriff auf das Konto benötigen.

Promons Ergebnisse stammen aus Arbeiten, die Forscher der Pennsylvania State University vor mehr als vier Jahren durchgeführt haben. Zu dieser Zeit machten die Forscher Google auf das Problem bei der Implementierung des taskAffinity-Attributs durch Android aufmerksam. Jetzt, mehr als vier Jahre später, nutzen Kriminelle den Fehler.

Unten sehen Sie ein von Promon produziertes Video, das den StrandHogg-Exploit in Aktion zeigt.

Wie magst du deine Spinnen? Auswirkungen von Android iOS-Sicherheitslücken auf die Sicherheit mobiler Apps

Die Nachrichten über Malware, die auf die Sicherheitsanfälligkeit StrandHogg abzielt, erinnerten mich an einen Cartoon, den ich Anfang dieses Monats gesehen hatte. Der Cartoon kommentierte die ewige Debatte darüber, welches mobile Betriebssystem sicherer ist - Android oder iOS.

Ich denke, die Pointe ist, dass die Debatte unlösbar ist. Es ist ein Rätsel, wie man sein Gift auswählt. Es fällt Ihnen schwer zu argumentieren, dass Android oder iOS sicherer sind als das andere. Beide sind lukrative Ziele und Gruppen auf beiden Seiten der Gut-Böse-Linie verbrauchen erhebliche Ressourcen, um diese mobilen Betriebssysteme aus Überwachungs-, Betrugs- oder anderen Gründen zu knacken.

Als Beispiel dafür, wie wertvoll diese Ziele und damit verbundenen Exploits sein können, betrachten wir Zerodium, ein Unternehmen, das kauft und verkauft Exploits zahlt 2,5 Millionen US-Dollar für 1-Klick-Exploits von Android und 1 Million US-Dollar für 1-Klick-Exploits von iOS. Zerodium verkauft diese Exploits dann an seine Kunden weiter (es wird gemunkelt, dass Zerodiums Kunden hauptsächlich Regierungsorganisationen sind). Das ist viel Geld, das den Besitzer wechselt.

Zerodium berichtet, dass Auszahlungen unter anderem von „der Popularität und dem Sicherheitsniveau der betroffenen Software / des betroffenen Systems“ abhängen. In Bezug auf die Popularität, Web-Traffic-Analyse Anbieter StatCounter Der weltweite Marktanteil von Android liegt bei 76,67% und der von iOS bei 22,09% (Stand Oktober 2019).

Die meisten Leute benutzen Android. Dann ist es sinnvoll, dass Exploits von Android wertvoller sein könnten. Beachten Sie im Hinblick auf die wahrgenommene Sicherheit, dass Zerodium seine Preisliste Anfang September aktualisiert hat. Das war nur ein paar Tage später Google-Forscher enthüllten Eine ernsthafte Kampagne von iOS-Exploits in freier Wildbahn, die iOS-Benutzer, die eine bösartige Website besuchten, gefährdete und dazu führte, dass die Angreifer die Kontrolle über das Gerät eines Besuchers erlangten (die Fehler wurden in iOS 12.1.4 behoben). Die aktualisierte Preisliste von Zerodium lässt einige spekulieren, dass der Markt iOS jetzt als weniger sicher ansieht.

Vergessen wir jedoch nicht, dass anscheinend keine Woche vergeht, ohne dass eine App im Google Play Store gemeldet wird, die entweder selbst bösartig ist oder ein Köder, dessen Endziel darin besteht, Malware auf dem Android-Gerät eines Benutzers zu installieren.

Schutz mobiler Apps und Benutzer vor nicht gepatchten Sicherheitslücken

Gruselgeschichte. Aber wie können wir uns alle vor Angriffen auf Fehler wie StrandHogg oder andere bekannte und unbekannte Sicherheitslücken schützen, die in mobilen Betriebssystemen nicht gepatcht werden? Ich behaupte, dass App-Entwickler (sowohl die tatsächlichen Leute, die mobile Apps entwickeln, als auch die Unternehmen, die diese Apps veröffentlichen) die Helden sind, die wir in dieser Situation brauchen.

Unternehmen, die Dienste über mobile Apps ermöglichen, müssen sich darüber im Klaren sein, dass sowohl Android als auch iOS trotz aller Bemühungen Lücken hinterlassen können, die ihre Apps und Benutzer einem Risiko aussetzen. Sie müssen zusätzliche Investitionen in App-Sicherheitstechnologien wie z Abschirmung der mobilen App und Laufzeitschutz, der eine mobile App während des Betriebs kontinuierlich überwacht - indem sie potenziell böswillige Aktivitäten wie diese identifiziert und herunterfährt, bevor sie Schaden anrichtet. OneSpan App Shielding bietet beispielsweise seit fast zwei Monaten einen spezifischen Schutz vor Task-Hijacking-Angriffen, die die StrandHogg-Sicherheitsanfälligkeit nutzen.

Viele Entwickler sagen, dass sie die Bedeutung der Sicherheit erkennen, aber nicht genug Zeit haben, um dies richtig zu tun. Unternehmen müssen daher sicherstellen, dass sie Entwicklern die Tools zur Verfügung stellen, die sie zur Integration der Sicherheit in die von ihnen entwickelten mobilen Apps benötigen. Darunter z. B.:

  • Bereitstellung einer sicheren Code-Ausbildung
  • Einführung von Technologien, die regelmäßige Sicherheitstests (statische und dynamische Analyse) mobiler Apps ermöglichen
  • Verwendung vertrauenswürdiger SDKs aus vertrauenswürdigen Quellen, die es Entwicklern erleichtern, eine starke Authentifizierung in ihre Apps und Mechanismen zu implementieren, die die Sicherheit von Daten in Ruhe und während der Übertragung gewährleisten
  • Verwenden Sie erweiterte Schutzfunktionen wie App-Abschirmung und Laufzeitschutz, die einen zusätzlichen Schutz vor erweiterten Angriffen in potenziell feindlichen Umgebungen wie Android- und iOS-Geräten bieten

Bevor Sie Ihre Hand in die Schachtel legen ... Schützen Sie sich  

Die Herausforderung der Entwicklung einer erfolgreichen Mobile-Banking-Anwendung anzugehen, ist keine leichte Aufgabe, und Entwicklungsteams müssen sich mit dem Druck aus allen Richtungen auseinandersetzen. Es ist unbedingt erforderlich, dass eine Anwendung so schnell wie möglich erstellt, getestet und veröffentlicht wird. In der Eile zum Markt kann die Sicherheit jedoch nicht übersehen werden. Wenn Sie eine mobile App freigeben, können Sie nicht sicher sein, wer sie herunterladen wird oder unter welchen Bedingungen das Gerät verwendet wird. Wenn ein Gerät kompromittiert wird, ist Ihre Anwendung gefährdet.

Die App-Abschirmung mit Laufzeitschutz verringert die Risiken durch bewährte, zuverlässige Sicherheit, die in enge Produktionspläne und Budgets passt.

StrandHogg
Whitepaper

Verteidigen Sie sich gegen StrandHogg und andere mobile Bedrohungen

In diesem Whitepaper werden die geschäftlichen Gründe erläutert und erläutert, wie die Abschirmung von Apps mit Laufzeitschutz der Schlüssel für die Entwicklung einer sicheren, ausfallsicheren Mobile-Banking-App ist. 

Jetzt herunterladen

Sam ist Senior Product Marketing Manager und verantwortlich für das OneSpan Mobile Security-Portfolio. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.