Blog-Archive

Sicherheitslücke: Warum Android-Berechtigungen Hackern Tür und Tor öffnen

Android-Berechtigungen: Einfallstor für Hacker

Das Android-Berechtigungskonzept ermöglicht bösartigen Apps das Mitlesen des Datenverkehrs. Warum das so ist und wie Sie sich schützen können, verrät Trend Micro.

Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking-Team ausgesetzt waren und es zum Teil immer noch sind.

Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben.

Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen.

Der Schädling kommt durch die Hintertür

Die betroffene „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen.

Im Detail heißt das: Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, ist aber nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen.

Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.

Um die Sicherheitsprüfungen im Google-Play-Store zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt.

Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Bedienkomfort versus Sicherheit

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Store hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Tücken des Android-Berechtigungskonzepts

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern.

Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte.

Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Datenschutz versus Privacy

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten.

Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Weitere Details zur gefälschten Nachrichten-App aus dem Hacking-Team-Fundus sind im deutschen Blog von Trend Micro abrufbar.

31.07.15 | Redakteur: Margit Kuthner

http://www.security-insider.de/themenbereiche/plattformsicherheit/mobilesecurity/articles/498907/?cmp=nl-14

Advertisements

BfDI Pressemitteilung : Verfassungsschutzrecht verfassungsgemäß reformieren!

Dazu die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff:
Dieser Gesetzesentwurf ändert die Sicherheitsarchitektur der Bundesrepublik Deutschland. Das Bundesamt für Verfassungsschutz bekommt neue, zentralisierte Auswertungs- und Analysebefugnisse. Die Verfassungsschutzbehörden der Länder sollen alles an das Bundesamt für Verfassungsschutz übermitteln, was für die zentrale Auswertung und Analyse relevant ist. Welche Relevanzkriterien gelten, bleibt offen. Dazu soll das Bundesamt für Verfassungsschutz weitreichende Datenbestände anlegen, die es umfassend auswerten darf. Bisherige Schranken für die Datenverarbeitung in zentralen Dateien fallen zu großen Teilen weg.Nachrichtendienste greifen mit ihren Maßnahmen tief in Grundrechte ein. Denn diese Maßnahmen sind nach der bestehenden Gesetzeslage weit im Vorfeld einer Gefahr angesiedelt, ohne dass die Betroffenen gegen Gesetze verstoßen haben müssen. Das derzeitige Recht regelt unzureichend, über welchen Personenkreis die Nachrichtendienste überhaupt Daten erheben und speichern dürfen. Es differenziert auch nicht hinlänglich, wann die Dienste gegen wen welche Mittel einsetzen dürfen.
Sicherheitspolitik darf sich deshalb nicht darauf beschränken, den Nachrichtendiensten mehr Personal, mehr Sachmittel und mehr Befugnisse zu geben. Die Vorgaben des Bundesverfassungsgerichts – zuletzt zur Antiterrordatei – sollten vielmehr Anlass für eine grundlegende Reform des Rechts der Nachrichtendienste sein.

Kritische Infrastrukturen und die Informationssicherheit

Der Entwurf des neuen IT-Sicherheitsgesetzes sieht vor, dass alle Betreiber von Kritischen Infrastrukturen (KRITIS) ein ISMS im Einsatz haben müssen.

(24.03.15) – Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert mit diesem Artikel, worauf sich die Energieversorger einstellen müssen:

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

„Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen“, sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. „Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen.“ (prego services: ra)