Enterprise Security: Die DNA mobiler Angriffe
Aus technischer Sicht gibt es drei Ansätze für mobile Angriffe – auf Device, Network und Apps. Wir zeigen die einzelnen Angriffsvektoren auf.
Inhaltsverzeichnis
Angriffe auf das Gerät
In einem Smartphone muss alles winzig sein – die Chips und alle Speicherzellen. Ein Bit, die kleinste Einheit, mit der ein Rechner arbeitet, ist nichts weiter als eine elektrische Ladung. Dies hat einen Nachteil: Auf engem Raum können sich solche Ladungen gegenseitig beeinflussen. Raffinierte Kriminelle machen sich das zu nutze: Sie manipulieren geschützte Speicherzellen, in dem sie die Ladung von ungeschützten, benachbarten Zellen aus verändern. Es ist, als würde man mit einem Magneten ein hinter einer Wand verstecktes Metallteilchen von aussen bewegen. «Rowhammer» nennen Experten solche Angriffe. Die Hacker können damit ein Gerät rooten und die Benutzerrechte an sich reissen.
Dies ist nur eines von vielen Beispielen, wie Kriminelle die Schwachstellen in der Hardware mobiler Geräte ausnutzen – Mängel, von denen die meisten Menschen noch nie etwas gehört haben. Die Hacker wollen das Gerät oftmals nur deshalb steuern, weil sie von da aus in die Netzwerke eines Unternehmens eindringen können. Dort liegen weitaus lukrativere Daten als auf einem einzelnen Gerät. Aber es ist nicht die einzige Methode – aus technischer Sicht gibt es drei Ansätze für mobile Angriffe, die Experten als DNA bezeichnen. Gemeint sind Angriffe auf Device (Geräte), Network (Netzwerk) und Apps.
Angriffe auf Netzwerke
Netzwerk-Angriffe sind eine noch häufigere Gefahr. Hotels, Cafés oder Supermärkte bieten Kunden kostenloses WLAN an. Aber viele dieser Zugangspunkte sind unsicher konfiguriert. Die Nutzer riskieren einen Man-in-the-Middle-Angriff. Dabei schleicht sich jemand in die Kommunikation zwischen Nutzer und Zielserver ein, um Daten abzufangen oder zu verändern. Der Malware-Forscher Lukas Stefanko konnte belegen, dass zum Beispiel die App ES File Explorer mit 100 Millionen Downloads im Google Play Store kein sicheres https-Protokoll verwendete. Ein Hacker, der sich im selben Hotel oder Cafe-Netzwerk wie der User aufhält, könnte sich in die Kommunikation der App einbringen und die Links innerhalb der App umleiten. Als „Man in the Middle“ wäre es ihm ein leichtes, eine Login-Seite vorzutäuschen und Passwörter zu stehlen.
Angriffe auf Apps
Mehr als 60 Millionen Downloads – das erreichen Apps selten. Aber das Spiel «Fortnite» ist derart populär, dass es einen solchen Run auf die mobile Version gab. Das Problem: Die Hersteller boten die App nicht im Playstore an. Um sie auf das Smartphone zu laden, mussten die Nutzer die App von einer Webseite herunterladen. Das nutzten Kriminelle aus. Sie luden Youtube-Videos hoch, um Fortnite-Fans gefälschte Download-Links anzubieten – die führten jedoch zu Apps, die Malware enthielten. Auch diese diente als Eingangstor zu Unternehmen-Netzwerken. Der McAfee Mobile Threat Report 2019 verzeichnet einen rapiden Anstieg dieser Angriffsart. Gefälschte Apps seien eine der effektivsten Methoden, um Benutzer dazu zu bringen, bösartige Anwendungen zu installieren, heißt es. Und das gelte auch für die Zukunft.
Daniel ist Security Consultant bei Inseya mit einem ausgeprägten Interesse an Cybersecurity Themen, wie das Zero Trust Framework, Hybrid Infrastrukturen aus Multicloud/On-Premises, Passwordless MFA Lösungen und Mobile Threat Defense (MTD). Er hat ein CAS in Cybersecurity & Riskmanagement, ist Informationssicherheitsbeauftragter BSI und CISSP zertifiziert.