{"id":13221,"date":"2017-06-02T10:35:37","date_gmt":"2017-06-02T10:35:37","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=13221"},"modified":"2017-09-27T15:29:35","modified_gmt":"2017-09-27T13:29:35","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cloak-and-dagger-attack\/13221\/","title":{"rendered":"Cloak and Dagger: Eine Sicherheitsl\u00fccke bei allen Android-Versionen"},"content":{"rendered":"<p>Warnung: Dies ist keine \u00dcbung. Betroffen sind alle <strong>Android-Versionen <\/strong>und zum Zeitpunkt der Ver\u00f6ffentlichung dieses Artikels hat Google die <strong>Schwachstelle noch nicht beseitigt. <\/strong>Es ist genau diese Schwachstelle, die es erm\u00f6glicht Benutzerdaten \u2013 samt Passw\u00f6rtern \u2013 zu stehlen, Handlungen des Users zu registrieren, die Tastatureingabe eines Android Smartphones oder Tablets aufzuzeichnen und Anwendungen zu installieren,\u00a0 die mit einer <a href=\"https:\/\/www.kaspersky.de\/blog\/android-permissions-guide\/9743\/\" target=\"_blank\" rel=\"noopener\">Reihe von Berechtigungen<\/a> einhergehen. Warnung: Dies ist keine \u00dcbung\u2026<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/06\/22193513\/cloak-and-dagger-featured-1024x673.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-16961\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/06\/22193513\/cloak-and-dagger-featured-1024x673.jpg\" alt=\"Cloak and Dagger: A hole in Android \" width=\"1460\" height=\"960\"><\/a><\/p>\n<p>Die Attacke Cloak and Dagger, benannt nach der gleichnamigen US-amerikanischen Fernsehserie von Marvel, wurde von Mitarbeitern der Technischen Universit\u00e4t Georgia und der Universit\u00e4t Kaliforniens nachgewiesen. Die Forscher versuchten Google wiederholte Male auf das Problem aufmerksam zu machen, jedoch ohne Erfolg: Google speiste sie mit der Anwort, dass alles nach Plan verlaufen w\u00fcrde ab. Die Forscher sahen sich daraufhin gezwungen ihre Erkenntnisse publik zu machen. Zu diesem Zweck wurde sogar die Webseite cloak-and-dagger.org ins Leben gerufen.<\/p>\n<h2><strong>Wesentliches der Attacke<\/strong><\/h2>\n<p>Zusammengefasst liegt die Attacke der Nutzung einer App von Google Play zu Grunde: Obwohl die App den User nicht nach einer Best\u00e4tigung spezifischer Berechtigungen fragt, erhalten die Angreifer die Berechtigung dem Interface dieser App Priorit\u00e4t zu verleihen und im Namen des Users Aktionen durchzuf\u00fchren ohne dass dieser es bemerkt.<\/p>\n<p>Erm\u00f6glicht wird die Attacke da der User bei der Installation von Apps aus dem Google Play Store nicht explizit dazu aufgefordert wird Anwendungen den Zugang zur Funktion SYSTEM_ALERT_WINDOW zu gew\u00e4hren. Die Berechtigung auf den ACCESSIBILITY_SERVICE (A11Y) zuzugreifen ist hingegen relativ simpel.<\/p>\n<p>Um welche Berechtigungen es sich hierbei handelt? Die erste der beiden erlaubt das Interface einer App vorrangig im Vergleich zu anderen Apps anzuzeigen. Die zweite Berechtigung gew\u00e4hrt den Zugang zu einer Reihe von Funktionen, die f\u00fcr Personen mit H\u00f6r- oder Sehst\u00f6rungen zug\u00e4ngig sind. Der Zugang zu dem so genannten Accessibility Service (Dienst der Barrierefreiheit) ist \u00e4u\u00dferst gef\u00e4hrlich, da dieser Dienst einer Anwendung Folgendes erm\u00f6glicht: Zum einen kann \u00fcberwacht werden was zeitgleich in anderen Apps passiert, zum anderen kann im Namen des Users zwischen den unterschiedlichen Anwendungen interagiert werden.<\/p>\n<p>Was dabei schief gehen k\u00f6nnte?<\/p>\n<h3><strong>Eine unsichtbare Ebene<\/strong><\/h3>\n<p>Das Wesentliche dieser Attacken, die mithilfe der Berechtigung SYSTEM_ALERT_WINDOW ausgef\u00fchrt werden ist grob gesagt Folgendes: Die Berechtigung, die Google Play standardm\u00e4\u00dfig erteilt, erlaubt einer spezifischen App jeglichen Inhalt vorranig im Vergleich zu allen anderen Apps anzuzeigen. Zudem k\u00f6nnen angezeigte Fenster beliebige Formen annehmen, unter anderem auch L\u00f6cherformen. So kann entweder die Tastatureingabe auf dem Bildschirm aufgezeichnet oder diese Aufzeichnung einer anderen App, die auf einer niedrigeren Ebene ausgef\u00fchrt wird \u00fcberlassen werden.<\/p>\n<p>Es ist zum Beispiel m\u00f6glich eine transparente Ebene zu kreieren, die die virtuelle Tastatur eines Android-Ger\u00e4tes \u00fcberlappt und so alle Tastatureingaben, die auf dem Bildschirm get\u00e4tigt werden aufzeichnet. Die Korrelation zwischen der Stelle, die der User auf dem Bildschirm\u00a0 hat und dem Tastaturtyp, erm\u00f6glicht es dem Angreifer die Tastatureingaben des Users, die mit genau dieser Tastatur get\u00e4tigt wurden herauszufinden. Und Voila \u2013 ein neuer Keylogger ist zur Tat bereit! Dies ist eines der Beispiele, das die Forscher zur Darstellung der Attacke pr\u00e4sentierten.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/NceNhsu87iA?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Im Allgemeinen ist SYSTEM_ALERT_WINDOW eine \u00e4u\u00dfert gef\u00e4hrliche Berechtigung; Google selbst gibt zu, dass sie nur f\u00fcr ausgesuchte Apps verwendet werden sollte. Dennoch hat Google die Entscheidung getroffen, diese Berechtigung seitens Google Play zu gew\u00e4hren ohne den User explizit dar\u00fcber zu informieren, denn: beliebte Apps wie Facebook Messenger, Skype und Twitter verlangen nach dieser Berechtigung. Leider stehen sich Sicherheit und Unkompliziertheit meist im Weg.<\/p>\n<h3><strong>Die Gefahren der Funktionen der Barrierefreiheit<\/strong><\/h3>\n<p>Auf den ersten Blick sind die Absichten der zweiten Berechtigung (Barrierefreiheit) gut: sie erleichtert den Personen mit H\u00f6r- oder Sehst\u00f6rungen den Gebrauch von Android-Ger\u00e4ten. In der Praxis teilt dieses Feature-B\u00fcndel den Apps jedoch eine gro\u00dfe Anzahl von Berechtigungen zu, die meist komplett zweckentfremdet werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"ru\" dir=\"ltr\">\u041e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u043c, \u0447\u0442\u043e \u0437\u043d\u0430\u0447\u0430\u0442 \u0442\u0435 \u0438\u043b\u0438 \u0438\u043d\u044b\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0432 Android 6 \u0438 \u0432\u044b\u0448\u0435. \u0418 \u0441\u0442\u043e\u0438\u0442 \u043b\u0438 \u0432\u044b\u0434\u0430\u0432\u0430\u0442\u044c \u0438\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c: <a href=\"https:\/\/t.co\/KjOImtNJRE\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/KjOImtNJRE<\/a> <a href=\"https:\/\/t.co\/gTmvUAfP0z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/gTmvUAfP0z<\/a><\/p>\n<p>\u2014 Kaspersky (@Kaspersky_ru) <a href=\"https:\/\/twitter.com\/Kaspersky_ru\/status\/829335478172200960?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gehen wir davon aus, dass eine App mit Zugang zur Barrierefreiheit (zum Beispiel um Elemente laut vorzulesen) Zugriff auf jegliche Informationen erhalten kann, die Auskunft dar\u00fcber geben, was genau auf dem Ger\u00e4t passiert: welche Apps ge\u00f6ffnet wurden, was der User antippt oder wann und welche Benachrichtigungen erscheinen. Das bedeutet, dass die App bestens \u00fcber die Nutzung des Ger\u00e4tes informiert ist. Und das ist noch lange nicht alles: Die App kann nicht nur Aktivit\u00e4ten aufzeichnen, sondern auch verschiedene Aktionen im Namen des Users ausf\u00fchren.<\/p>\n<p>Im Gro\u00dfen und Ganzen ist sich Google dar\u00fcber bewusst, dass die Berechtigung der Accessibility den Anwendungen gr\u00fcnes Licht gibt. Deshalb ist es notwendig, dass die Funktion Accessibility individuell f\u00fcr jede Anwendung in einem speziellen Men\u00fc in den Einstellungen des Smartphones deaktiviert wird.<\/p>\n<p>Das Problem liegt darin, dass die Angreifer durch die Verwendung der ersten Berechtigung (SYSTEM_ALERT_WINDOW) und durch die geschickte Darstellung von Fenstern, die den gr\u00f6\u00dften Teil des Bildschirms abgesehen von der Schaltfl\u00e4che \u201eOK\u201c \u00fcberlappen, die User davon \u00fcberzeugen k\u00f6nnen Dingen unbewusst zuzustimmen w\u00e4hrend sie der App in Wirklichkeit Zugang zum Accessibility-Dienst verleihen.<\/p>\n<p>Die Funktion der Barrierefreiheit kann probemlos Zusammenh\u00e4nge erfassen und im Namen der User handeln: Eink\u00e4ufe im Google Play Store sind problemlos m\u00f6glich. Folglicherweise ist es f\u00fcr die Angreifer eine Leichtigkeit Google Play zu benutzen um eine Spionage-App zu downloaden, die ihnen daraufhin s\u00e4mtliche Genehmigungen erteilen kann.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/RYQ1i03OVpI?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<h3><strong>Paradebeispiel des Phishings <\/strong><\/h3>\n<p>Der Zugriff auf die Funktion SYSTEM_ALERT_WINDOW und ACCESSIBILITY_SERVICE erm\u00f6glicht Betr\u00fcgern Phishing-Attacken durchzuf\u00fchren ohne den Verdacht des Users zu erregen.<\/p>\n<p>Wenn ein User zum Beispiel die Anwendung Facebook \u00f6ffnet und versucht seinen Benutzernamen und sein Passwort einzugeben ist es m\u00f6glich, dass die App, die \u00fcber die Berechtigung der Accessibility verf\u00fcgt diese Eingabe ausfindig macht. Daraufhin wird dem User mithilfe der Funktion SYSTEM-ALERT WINDOW und der F\u00e4higkeit mehrere Fenster gleichzeitig zu \u00fcberlappen ein Phishing-Fenster in Facebook-Farben angezeigt, auf dem der nichtsahnende User im Anschluss seine Accountdaten eingibt.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/oGKYHavKZ24?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>In diesem Fall erlaubt die Kenntniss des Kontextes den Entwicklern das Phishing-Fenster nur dann an der richtigen Stelle anzuzeigen wenn der User sein Passwort eingeben m\u00f6chte. Da sich der User wie erwartet nach Eingabe des Passworts bei Facebook einloggt, gibt es auch keinen Grund Verdacht zu sch\u00f6pfen.<\/p>\n<p>Attacken wie die oben genannten sind nichts Neues f\u00fcr Sicherheitsforscher und tragen sogar einen Namen: Tapjacking. Google hat den App-Entwicklern von Android eine M\u00f6glichkeit gegeben zur\u00fcckzuschlagen: \u00fcberpr\u00fcfen zu k\u00f6nnen ob eine App \u00fcberlappt wird. In diesem Falle w\u00e4re es dem User nicht m\u00f6glich einige Aktionen durchzuf\u00fchren. Deshalb sind die meisten Bank-Apps gegen Attacken wie Cloak and Dagger gesch\u00fctzt. Der einzige Weg um 100%ig sicher zu gehen, dass eine solche App allerdings nicht anf\u00e4llig f\u00fcr Attacken wie diese ist, ist den Hersteller zu kontaktieren.<\/p>\n<h3><strong>Wie Sie ihr Ger\u00e4t vor Cloak and Dagger\u00a0sch\u00fctzen k\u00f6nnen<\/strong><\/h3>\n<p>Die Urheber der Forschung haben die Attacke mit den 3 beliebtesten Android-Versionen getestet (Android 5, Android 6 und Android 7), die insgesamt 70% aller Android-Ger\u00e4te darstellen. Es wurde festgestellt, dass alle 3 Versionen, und vermutlich auch alle anderen Vorg\u00e4ngerversionen, anf\u00e4llig f\u00fcr die Spionageattacke sind. Sollten Sie im Besitz eines Android-Ger\u00e4tes sein, betrifft dieses Thema also auch Sie.<\/p>\n<p>Wir raten deshalb Folgendes:<\/p>\n<p>1. Versuchen Sie keine unbekannten Apps aus dem Google Play Store oder anderen Stores zu installieren, vor allem wenn es sich um kostenlose Apps handelt. Wenn Sie keine verd\u00e4chtigen Apps installiert haben, k\u00f6nnen Sie kein Opfer einer Attacke werden. Trotzdessen ist es bislang unbekannt wie man eine verd\u00e4chtige App von einer ungef\u00e4hrlichen App unterscheiden kann.<\/p>\n<p>2. Pr\u00fcfen Sie regelm\u00e4\u00dfig worauf ihre Apps Zugriff haben und widerrufen Sie unn\u00f6tige Berechtigungen. Wie das m\u00f6glich ist, lesen Sie<\/p>\n<div class=\"kasbanner-banner kasbanner-image\"><a title=\"KISA Generic Win and Mac\" href=\"https:\/\/app.appsflyer.com\/com.kms.free?pid=smm&amp;c=ww_kdaily\" target=\"_blank\" rel=\"noopener noreferrer nofollow\"><img decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/06\/22193519\/kisa-generic-pc-EN1-1024x210-1.jpg\"><\/a><\/div>\n<p>Vergessen Sie nicht die Sicherheitsma\u00dfnahmen f\u00fcr Android-Ger\u00e4te zu installieren. Eine kostenlose Version von <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.kms.free&amp;referrer=af_tranid%3Dw28BF8LJ8Bl_o70TU5zRvA%26pid%3Dsmm%26c%3Dru_kdaily\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security f\u00fcr Android<\/a> ist bereits erh\u00e4ltlich. Falls Sie keinerlei Sicherheitsma\u00dfnahmen auf Ihrem Smartphone oder Tablet installiert haben, bitten wir Sie diese Anwendung in Anspruch zu nehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie eine Reihe unauff\u00e4lliger Berechtigungen es einer Anwendung erm\u00f6glicht Passw\u00f6rter zu stehlen, Benutzeraktionen aufzuzeichnen, und vieles mehr.<\/p>\n","protected":false},"author":675,"featured_media":13222,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[55,1129,274,2542,2541,184,193,1650,2543],"class_list":{"0":"post-13221","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-android","10":"tag-anwendungen","11":"tag-bedrohungen","12":"tag-berechtigungen","13":"tag-cloak-and-dagger","14":"tag-google-play","15":"tag-kaspersky-internet-security","16":"tag-malware","17":"tag-zugang"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cloak-and-dagger-attack\/13221\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cloak-and-dagger-attack\/7850\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cloak-and-dagger-attack\/4270\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cloak-and-dagger-attack\/11493\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cloak-and-dagger-attack\/10587\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cloak-and-dagger-attack\/10506\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cloak-and-dagger-attack\/13077\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cloak-and-dagger-attack\/13155\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cloak-and-dagger-attack\/17723\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cloak-and-dagger-attack\/3248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cloak-and-dagger-attack\/16960\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cloak-and-dagger-attack\/8840\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cloak-and-dagger-attack\/9220\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cloak-and-dagger-attack\/6831\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cloak-and-dagger-attack\/15956\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cloak-and-dagger-attack\/16960\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cloak-and-dagger-attack\/16960\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=13221"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13221\/revisions"}],"predecessor-version":[{"id":13330,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13221\/revisions\/13330"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/13222"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=13221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=13221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=13221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}