Links zu allen Teilen:Teil 1. Erstzugriff auf ein mobiles Gerät (Erstzugriff)Teil 2. Beharrlichkeit und EskalationTeil 3. Zugriff auf Anmeldeinformationen erhalten (Zugriff auf Anmeldeinformationen)Teil 4. VerteidigungshinterziehungTeil 5. Entdeckung und seitliche BewegungGegner verwenden verschiedene Methoden zum Erfassen von Kennwörtern, Token, kryptografischen Schlüsseln und anderen Anmeldeinformationen, um den unbefugten Zugriff auf die Ressourcen eines Mobilgeräts zu implementieren. Wenn Sie legitime Anmeldeinformationen von einem Gegner erhalten, können Sie alle Berechtigungen eines gefährdeten Kontos in einem System oder Netzwerk identifizieren und abrufen, was es schwierig macht, böswillige Aktivitäten zu erkennen. Bei angemessenem Zugriff kann ein Gegner auch legitime Konten für die Verwendung in einer angegriffenen Umgebung erstellen.
Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Bei den veröffentlichten Informationen handelt es sich um eine kostenlose Nacherzählung des Inhalts von ATT @ CK Mobile Matrices: Device Access .Plattform: Android
Beschreibung: Android Accessibility Features ist ein Toolkit für Menschen mit Behinderungen. Eine böswillige Anwendung verwendet möglicherweise Android-Eingabehilfen, um vertrauliche Daten abzurufen oder böswillige Aktionen auszuführen. Tatsache ist, dass Sie mit den APIs, die Eingabehilfen bereitstellen, auf den Inhalt der Schnittstellen zugreifen können, mit denen der Benutzer interagiert (z. B. Lesen oder Erstellen einer E-Mail, Bearbeiten eines Dokuments usw.). Diese Funktionalität bietet Menschen mit Behinderungen die Möglichkeit, mit öffentlichen mobilen Anwendungen zu arbeiten. Diese Funktionalität des Betriebssystems zieht auch Malware-Autoren an. Um jedoch die Android-Eingabehilfen zu aktivieren, muss der Benutzer eine Reihe ungewöhnlicher Manipulationen mit einer Sicherheitswarnung am Ende durchführen.
Schutzempfehlungen: Die Betriebssystemversion Android 7.0 und höher bietet zusätzlichen Schutz gegen diese Technik. Bevor Sie die Installation der Anwendung in einer Unternehmensumgebung zulassen, sollten Sie sie auf möglichen Missbrauch von Eingabehilfen überprüfen oder den Mobile App Reputation Service implementieren, um bekannte schädliche Anwendungen zu identifizieren.
Plattform: Android
Beschreibung: In Android vor Version 4.1 kann ein Angreifer eine schädliche Anwendung mit der Berechtigung READ_LOGS verwenden, um private Schlüssel, Kennwörter und andere Anmeldeinformationen sowie vertrauliche Daten abzurufen, die im Systemprotokoll des Geräts gespeichert sind. In Android 4.1 und höher kann ein Angreifer erst nach erfolgreicher Eskalation der Berechtigungen auf dem Betriebssystem auf das Protokoll zugreifen.
Schutzempfehlungen: Wenn Sie Entwickler mobiler Anwendungen sind, sollten Sie keine vertraulichen Daten in das Systemprotokoll von Produktionsanwendungen schreiben.
Ab Android 4.1 können Anwendungen nicht auf das Systemprotokoll zugreifen (mit Ausnahme der Einträge, die von der Anwendung selbst hinzugefügt wurden). Beim physischen Zugriff auf das Gerät kann das Systemprotokoll über USB mit dem Dienstprogramm
Android Debug Bridge (adb) abgerufen werden.
Plattform: Android, iOS
Beschreibung: Ein Angreifer kann versuchen, Dateien zu lesen, die vertrauliche oder Anmeldeinformationen enthalten (private Schlüssel, Kennwörter, Zugriffstoken). Diese Methode erfordert entweder erhöhte Berechtigungen im Betriebssystem oder das Vorhandensein einer Zielanwendung im System, die Daten auf unsichere Weise speichert (mit unsicheren Zugriffsrechten oder an einem unsicheren Ort, z. B. in einem externen Speicherverzeichnis).
Schutzempfehlungen: Stellen Sie sicher, dass die von Ihnen verwendeten Anwendungen keine vertraulichen Daten mit unsicheren Rechten oder an einem unsicheren Ort speichern. Android und iOS bieten die Möglichkeit, Anmeldeinformationen in Hardware an einem isolierten Ort zu speichern, an dem sie nicht gefährdet werden, selbst wenn die Berechtigungen erfolgreich eskalieren. Android 7 bietet höhere Standarddateiberechtigungen im internen Verzeichnis der Anwendung, wodurch die Möglichkeit der Verwendung unsicherer Rechte verringert wird.
Plattform: Android
Beschreibung: Android Intent oder Intent ist ein Interprozess-Messaging-Objekt, mit dem eine Anwendung eine Aktion von einer Komponente einer anderen Anwendung anfordern kann. Eine böswillige Anwendung kann sich registrieren, um Absichten für andere Anwendungen zu erhalten und dann vertrauliche Werte wie OAuth-Protokollautorisierungscodes zu erhalten.
Schutzempfehlungen: Der Prozess der Überprüfung von Anträgen auf potenzielle Schwachstellen sollte die Ermittlung der unsicheren Verwendung von Absichten umfassen. Entwickler mobiler Anwendungen sollten Methoden verwenden, die das Senden von Absichten nur an das entsprechende Ziel garantieren (z. B. explizite Absichten verwenden, Berechtigungen überprüfen, das Zertifikat der Zielanwendung überprüfen oder
App-Links verwenden (eine Funktion, mit der der Benutzer unter Umgehung des Anwendungsauswahldialogfelds zum Link zur Zielanwendung umgeleitet wird) ), hinzugefügt in Android 6.0. Für mobile Anwendungen, die OAuth verwenden, wird empfohlen, die
Best Practices zu befolgen.
Plattform: Android, iOS
Beschreibung: Schädliche Anwendungen versuchen möglicherweise, vertrauliche Daten zu erfassen, die in der Zwischenablage des Geräts gespeichert sind, z. B. Kennwörter, die aus der Kennwortmanageranwendung kopiert / eingefügt wurden.
Schutzempfehlungen: In einer Unternehmensumgebung wird empfohlen, Prozesse zum Überprüfen von Anwendungen auf Schwachstellen und unerwünschte Aktionen, Richtlinien zur Einschränkung der Anwendungsinstallation und BYOD-Richtlinien (Bring Your Own Device) zu implementieren, die nur den vom Unternehmen kontrollierten Teil des Geräts einschränken. EMM / MDM-Systeme oder andere Sicherheitslösungen für mobile Geräte können unerwünschte oder böswillige Anwendungen auf Unternehmensgeräten erkennen.
Plattform: Android, iOS
Beschreibung: Eine böswillige Anwendung kann vertrauliche Daten erfassen, die in SMS-Nachrichten gesendet werden, einschließlich Authentifizierungsdaten. SMS-Nachrichten werden häufig zur Übertragung von Multi-Faktor-Authentifizierungscodes verwendet.
Die Android-Anwendung muss die Berechtigung zum Empfangen von SMS-Nachrichten während der Installation oder Ausführung anfordern und erhalten. Alternativ kann eine böswillige Anwendung versuchen, die Berechtigungen zu erhöhen, um diesen Schutz zu umgehen. iOS-Anwendungen können während des regulären Betriebs nicht auf SMS-Nachrichten zugreifen, daher muss der Feind zuerst einen Angriff auf die Eskalation von Berechtigungen ausführen.
Schutzempfehlungen
: In einer Unternehmensumgebung wird empfohlen, Anwendungen vorab auf RECEIVE_SMS-Berechtigung zu scannen. Wenn diese Berechtigung erkannt wird, erfordert die Anwendung eine detaillierte Analyse.
Plattform: Android
Beschreibung: Schädliche Anwendungen oder andere Angriffsmethoden können verwendet werden, um Schwachstellen in Code auszunutzen, der in einer vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) ausgeführt wird. Der Gegner kann dann die Berechtigungen von TEE erhalten, einschließlich der Möglichkeit, auf kryptografische Schlüssel oder andere vertrauliche Daten zuzugreifen. Um TEE anzugreifen, benötigt ein Gegner möglicherweise zuerst erhöhte Betriebssystemberechtigungen. Wenn nicht, können TEE-Berechtigungen verwendet werden, um Betriebssystemschwachstellen auszunutzen.
Schutzempfehlungen: Überprüfen Sie die Anwendung auf bekannte Sicherheitslücken. Sicherheitsupdates. Verwenden der neuesten Betriebssystemversionen.
Plattform: Android, iOS
Beschreibung: Eine böswillige Anwendung kann sich als Tastatur des Geräts registrieren und Tastenanschläge abfangen, während der Benutzer vertrauliche Daten wie Benutzername und Kennwort eingibt.
Schutzempfehlungen: Anwendungen werden selten als Tastaturen registriert. Daher sollten Anwendungen, die dies tun, bei der vorläufigen Überprüfung sorgfältig analysiert werden. Sowohl iOS als auch Android erfordern die ausdrückliche Erlaubnis des Benutzers, Softwaretastaturen von Drittanbietern zu verwenden. Benutzern wird empfohlen, vor Erteilung einer solchen Erlaubnis (auf Anfrage) äußerste Vorsicht walten zu lassen.
Plattform: Android, iOS
Beschreibung: Ein Angreifer kann eingehenden und ausgehenden Datenverkehr erfassen oder den Netzwerkverkehr umleiten, um ihn über ein vom Feind kontrolliertes Gateway zu übertragen und Anmeldeinformationen und andere vertrauliche Daten abzurufen.
Eine böswillige Anwendung kann sich unter Android oder iOS als VPN-Client registrieren, um Zugriff auf Netzwerkpakete zu erhalten. Auf beiden Plattformen muss der Benutzer der Anwendung jedoch die Zustimmung zur Ausführung der Funktionen eines VPN-Clients erteilen. Unter iOS erfordert die Anwendung eine spezielle Genehmigung von Apple.
Alternativ kann eine böswillige Anwendung versuchen, die Berechtigungen zu erhöhen, um Zugriff auf den Netzwerkverkehr zu erhalten. Ein Gegner kann den Netzwerkverkehr zu einem von ihm kontrollierten Gateway umleiten, indem er eine VPN-Verbindung herstellt oder die Proxy-Einstellungen auf dem angegriffenen Gerät ändert. Ein Beispiel ist die Möglichkeit, den Netzwerkverkehr umzuleiten, indem ein schädliches iOS-Konfigurationsprofil installiert wird (
Link zur Quelle ).
Sicherheitstipps: Überprüfen Sie die Anwendung, die VPN-Zugriff anfordert, sorgfältig, bevor Sie die Verwendung zulassen. Verkehrsverschlüsselung ist nicht immer effektiv, weil Ein Gegner kann Datenverkehr abfangen, bevor er verschlüsselt wird. Sowohl iOS als auch Android visualisieren den Aufbau einer VPN-Verbindung in der oberen Statusleiste des Geräts.
Plattform: iOS
Beschreibung: URL-Schemata (wie Apple sie nennt) sind URL-Handler, die vom Safari-Browser aufgerufen oder von einer Anwendung zum Aufrufen einer anderen Anwendung verwendet werden können. Mit dem Tel: -Schema können Sie beispielsweise die Telefonanwendung starten und eine bestimmte Nummer wählen, indem Sie den entsprechenden HTML-Code auf der Zielseite platzieren:
<iframe src="tel:"></iframe>
Skype-Schema: Starten eines Skype-Anrufs ":
<iframe src="skype:user?call"></iframe>
Mit iOS können Anwendungen von verschiedenen Entwicklern dieselben URL-Schemata verwenden. Eine böswillige Anwendung kann sich böswillig mithilfe des URL-Schemas einer anderen Anwendung registrieren. Dadurch kann sie einen Anruf an eine legitime Anwendung abfangen und über die Phishing-Schnittstelle Benutzeranmeldeinformationen oder OAuth-Autorisierungscodes abrufen.
Schutzempfehlungen: Überprüfen Sie bei der Analyse der Anwendungssicherheit, ob potenziell gefährliche URL-Schemata vorhanden sind. Bevorzugen Sie Programme, die universelle Links als Alternative zu URL-Schemata verwenden (dies ist ein Link, den der Benutzer zu einer bestimmten installierten Anwendung umleitet).
Plattform: Android, iOS
Beschreibung: UI-Spoofing wird verwendet, um den Benutzer dazu zu verleiten, vertrauliche Informationen wie Anmeldeinformationen, Bankdaten oder persönliche Daten bereitzustellen.
UI-Ersetzung legitimer Anwendungen oder GerätefunktionenSowohl unter Android als auch unter iOS kann sich ein Gegner als Benutzer einer legitimen Anwendungs- oder Gerätefunktion ausgeben und den Benutzer zur Eingabe vertraulicher Informationen zwingen. Die begrenzte Anzeigegröße mobiler Geräte (im Vergleich zu einem PC) kann es dem Benutzer möglicherweise weniger ermöglichen, Kontextinformationen bereitzustellen (z. B. die vollständige Website-Adresse anzuzeigen), die den Benutzer auf Gefahren aufmerksam machen könnten. Ein Angreifer kann diese Technik auch verwenden, ohne auf einem mobilen Gerät vorhanden zu sein, z. B. über eine gefälschte Webseite.
Ersetzung eines legitimen AntragsEine böswillige Anwendung kann die Zielanwendung vollständig wiederholen. Verwenden Sie denselben Namen und dasselbe Symbol und installieren Sie sie auf dem Gerät über einen autorisierten Anwendungsspeicher oder auf andere Weise (
siehe Techniken zur Anwendungsbereitstellung ). Bitten Sie den Benutzer dann, vertrauliche Informationen einzugeben.
Missbrauch von Betriebssystemfunktionen zur Beeinträchtigung einer legitimen AnwendungIn älteren Android-Versionen verwendet eine böswillige Anwendung möglicherweise reguläre Betriebssystemfunktionen, um eine laufende Anwendung zu stören. Es handelt sich um die veraltete
ActivityManager.getRunnigTasks- Methode (verfügbar für Android vor Version 5.1.1), mit der Sie eine Liste der Betriebssystemprozesse abrufen und eine Vordergrundanwendung definieren können, um beispielsweise eine gefälschte Doppelschnittstelle zu starten.
Schutzempfehlungen: In einer Unternehmensumgebung wird empfohlen, Anwendungsprüfungen auf Schwachstellen und unerwünschte Aktionen (böswillig oder Verletzung der Vertraulichkeit) durchzuführen, Richtlinien für Anwendungsbeschränkungen zu implementieren oder BYOD-Richtlinien (Bring Your Own Device) (Bring Your Own Device) mitzubringen, die Einschränkungen auferlegen nur für den unternehmensgesteuerten Teil des Geräts. Schulungen, Schulungen und Benutzerhandbücher unterstützen eine bestimmte Konfiguration von Unternehmensgeräten und verhindern manchmal sogar bestimmte riskante Benutzeraktionen.
EMM / MDM-Systeme oder andere Lösungen zum Schutz mobiler Geräte können unerwünschte oder schädliche Anwendungen auf Unternehmensgeräten automatisch erkennen. Softwareentwickler haben normalerweise die Möglichkeit, Anwendungsspeicher nach nicht autorisierten Anwendungen zu durchsuchen, die mit ihrer Entwickler-ID gesendet wurden.
Es wird empfohlen, nur die neuesten Versionen mobiler Betriebssysteme zu verwenden, die in der Regel nicht nur Patches enthalten, sondern auch über eine verbesserte Sicherheitsarchitektur verfügen, die Widerstand gegen zuvor nicht erkannte Sicherheitslücken bietet.