Man-in-the-Disk: Neue Angriffsmethode bedroht Android-Geräte

29 Aug 2018

Android ist ein wirklich gutes Betriebssystem, dessen Entwickler sich um das Thema Sicherheit kümmern; aber bei so vielen OS-Versionen und -anwendungen wird es zu einer großen Herausforderung, sie alle im Auge zu behalten. Daher tauchen in relativ regelmäßigen Abständen neue Möglichkeiten auf, um die integrierten Sicherheitsmechanismen zu umgehen. Die neueste Variante nennt sich „Man-in-the-Disk“, und genau darüber möchten wir in diesem Beitrag mit Ihnen sprechen.

How a seemingly harmless Android application can infect your smartphone using shared external storage.

„Sandboxen“, die Grundlage der Android-Sicherheit

Eines der Grundprinzipien von Android lautet, dass alle Anwendungen voneinander isoliert sein müssen. Dies wird durch den Einsatz sogenannter Sandboxen erreicht. Jede Anwendung befindet sich gemeinsam mit ihren privaten Dateien in einer „Sandbox“, auf die andere Anwendungen nicht zugreifen können.

Auf diese Weise sollen schädliche Anwendung, die ihren Weg auf Ihr Android-Gerät finden, davon abgehalten werden, Daten zu stehlen, die andere, nicht schädliche Anwendungen speichern, wie beispielsweise den Nutzernamen und das Passwort Ihrer Online-Banking-App oder Ihren Nachrichtenverlauf. Daher ist es keine Überraschung, dass Hacker auf der Suche nach neuen Möglichkeiten sind, den Mechanismus zu umgehen, auch „Sandbox Escape“ genannt.

In seiner Rede auf der DEF CON 26 konzentrierte sich Slava Makkaveev beispielsweise darauf, wie eine Anwendung ohne besonders gefährliche oder verdächtige Berechtigungen einer Sandbox entkommen kann. Er nannte die Methode „Man-in-the-Disk„, angelehnt an den bekannten Man-in-the-Middle-Angriff.

So funktionieren Man-in-the-Disk-Angriffe

Abgesehen von den Sandbox-Bereichen, die Anwendungsdateien beherbergen, verfügt Android über einen gemeinsamen externen Speicher mit dem passenden Namen „External Storage“. Eine Anwendung muss den Nutzer erst um Erlaubnis bitten, um auf den Speicher zugreifen zu können: „Auf Fotos, Medien und Dateien auf Ihrem Gerät zugreifen“ (das sind genau zwei Berechtigungen – READ_EXTERNAL_STORAGE und WRITE_EXTERNAL_STORAGE). Diese Privilegien werden normalerweise nicht als gefährlich eingestuft und fast jede Anwendung fordert sie ein, sodass die Anfrage auf den ersten Blick keinesfalls verdächtig wirkt.

Anwendungen verwenden externen Speicher für zahlreiche nützliche Dinge, beispielsweise um Dateien auszutauschen oder Dateien zwischen einem Smartphone und einem Computer zu übertragen. Externer Speicher wird allerdings auch häufig als Zwischenspeicher für aus dem Internet heruntergeladenen Daten verwendet: Zuerst werden die Daten auf den gemeinsamen Teil der Festplatte geschrieben und erst dann in einen isolierten Bereich übertragen, auf den nur diese bestimmte Anwendung zugreifen kann.

Eine Anwendung kann den Bereich beispielsweise temporär zum Speichern zusätzlicher Module verwenden, die installiert werden, um ihre Funktionalität zu erweitern. Das Problem ist, dass jede Anwendung mit Lese- und Schreibzugriff auf den externen Speicher, auf die Dateien zugreifen und sie nach Belieben ändern kann.

So können Sie beispielsweise eine scheinbar harmlose App installieren, die Ihr Smartphone dennoch mit heimtückischer Malware infiziert.

Die Entwickler von Android wissen tatsächlich, dass die Verwendung des externen Speichers gefährlich sein kann. Auf ihrer Seite lassen sich sogar einige hilfreiche Tipps für App-Programmierer finden.

Das Problem ist, dass nicht alle App-Entwickler, nicht einmal Google-Mitarbeiter oder bestimmte Smartphone-Hersteller, diesem Rat folgen. Zu den Beispielen, die von Slava Makkaveev vorgestellt wurden, zählen der Exploit der Sicherheitslücke in Google Translate, Yandex.Translate, Google Voice Typing und Google Text-to-Speech sowie Systemanwendungen von LG.

Übrigens haben Google-Forscher kürzlich herausgefunden, dass eben diese Man-in-the-Disk-Attacke auf die Android-Version des beliebten Spiels „Fortnite“ angewendet werden kann. Um das Spiel herunterzuladen, müssen Benutzer zuerst eine Hilfs-App installieren. Tatsächlich kann unter Anwendung des Man-in-the-Disk-Angriffs eine bösartige Anwendung installiert werden. Die Fortnite-Entwickler – Epic Games – sind sich dieser Sicherheitslücke bewusst und haben bereits eine neue Version des Installationsprogramms veröffentlicht. Sollten Sie Fortnite selbst spielen, achten Sie darauf, dass Sie die Version 2.1.0 verwenden. Wenn Sie Fortnite bereits installiert haben, sollten Sie das Spiel zunächst deinstallieren und die oben genannte Version dann von Grund auf neu installieren.

So schützen Sie Ihr Android-Gerät vor Man-in-the-Disk-Angriffen

Makkaveev hat nur einige wenige bekannte Apps herausgesucht, um zu demonstrieren, wie schlecht es um die Sicherheit von Apps im Allgemeinen steht.

Mit folgenden Tipps können Sie sich schützen:

  • Laden Sie Anwendungen ausschließlich aus offiziellen Stores wie Google Play herunter. Auch hier kann sich Malware einschleusen, das passiert allerdings weitaus seltener. Darüber hinaus wird sie regelmäßig entfernt.
  • Deaktivieren Sie in Ihren Smartphone- oder Tablet-Einstellungen die Installation von Anwendungen aus Drittanbieterquellen. Entfernen Sie dazu unter Einstellungen -> Sicherheit das Häkchen bei Unbekannte Quellen.
  • Wählen Sie ausschließlich Anwendungen von verifizierten Entwicklern und werfen Sie ein Blick auf das Rating und die Rezensionen der App. Vermeiden Sie die Installation von verdächtigen Anwendungen.
  • Denken Sie daran, Anwendungen zu entfernen, die Sie nicht mehr benötigen.
  • Installieren Sie keine unnötigen Anwendungen. Je weniger Apps sich auf Ihrem Smartphone befinden, desto besser.
  • Installieren Sie eine zuverlässige mobile AV-App, die Sie rechtzeitig benachrichtigt, wenn eine bösartige App versucht, in Ihr Gerät einzudringen.