Black Hat Europe 2013: Hacker hebeln Mobile Device Management aus

MDM kein Allheilmittel gegen Smartphone-Infektionen

| Autor / Redakteur: Uli Ries / Peter Schmitz

Die Sicherheitsexperten Daniel Brodie und Michael Shaulov haben auf der Sicherheitskonferenz Black Hat Europe 2013 die Grenzen von MDM demonstriert. Sie konnten aus einem gesicherten Smartphone E-Mails auslesen.
Die Sicherheitsexperten Daniel Brodie und Michael Shaulov haben auf der Sicherheitskonferenz Black Hat Europe 2013 die Grenzen von MDM demonstriert. Sie konnten aus einem gesicherten Smartphone E-Mails auslesen. (Bild: UBM Tech, VBM)

Nicht zuletzt durch BYOD (Bring Your Own Device) boomen Werkzeuge zum Verwalten von mobilen Endgeräten in Unternehmen. Lösungen für Mobile Device Management (MDM) sollen auch für mehr Sicherheit sorgen. Zwei Hacker haben jetzt demonstriert, wie leicht sich trotz MDM Android- und auch iOS-Smartphones infizieren lassen.

Was im Desktop- und Serverumfeld seit Jahren üblich ist, wurde durch die Flut an neuen mobilen Endgeräten auch rund um mobile Hardware populär: das zentrale Management der Geräte. Den Marktforschern von Gartner zufolge werden in den kommenden vier Jahren 65 Prozent aller Unternehmen auf Mobile Device Management (MDM) setzen. Prominente Vertreter der Zunft sind MobileIron, Airwatch, Fiberlink, Zenprise oder Good Technologies.

MDM will gleich mehrere Fliegen mit einer Klappe schlage. Zum einen helfen die Tools der Unternehmens-IT, den bunten Zoo an Geräten und Betriebssystemen – diverse Android-Varianten, iPhones, iPads, Blackberry und Windows Phone – halbwegs effizient zu verwalten. Also beispielsweise Richtlinien zu unterwerfen, die die Kamera deaktivieren oder einen PIN-Code zum Entsperren fordern. Oder zentral Updates zu verteilen, wie es im Windows-Umfeld schon seit jeher üblich ist. Außerdem können MDM-Produkte die Geräte auch aus der Ferne löschen (Remote Wipe), sollten sie verloren gehen.

Gleichzeitig kümmern sich MDM-Tools auch um die Sicherheit der auf den Geräten gespeicherten Daten und deren per SSL oder VPN geschützten Übertragung. In aller Regel legen die Lösungen einen verschlüsselten Container auf dem Smartphone oder Tablet an, in dem Firmen-E-Mails, Adressbücher und andere schützenswerte Daten landen. Geht das mobile Endgerät verloren, kommt der Finder beziehungsweise Dieb ohne Kennwort selbst dann nicht an diese Daten, wenn er das Remote Wipe unterbinden kann. Außerdem sperren die Container auch andere, auf dem gleichen Endgerät installierten Apps aus und verhindern so den Datenklau.

Angriff live erfolgreich demonstriert

Soweit zumindest die Theorie. Die Sicherheitsexperten Daniel Brodie und Michael Shaulov haben im Rahmen einer Präsentation, die sie während der Sicherheitskonferenz Black Hat Europe 2013 zeigten, die Grenzen von MDM demonstriert. Es gelang ihnen, auf einem durch Good Technologies gesicherten Samsung Galaxy S3 E-Mails auszulesen, die im geschützten Container lagen. Die Forscher betonten, dass sie keine spezifische Schwachstelle in Good ausnutzten und alle anderen ihnen bekannten MDM-Produkte gleichermaßen anfällig sind.

Denn die Lösungen vertrauen auf ein nicht infiziertes Betriebssystem. Brodie und Shaulov infizierten das Android-Smartphone jedoch zuvor mit einer Malware, die sich durch Missbrauch der (inzwischen von Samsung geschlossenen) Exynos-Schwachstelle root-Rechte auf dem Gerät verschaffte. Üblicherweise finden Schädlinge ihren Weg auf die Android-Geräte, in dem sich Huckepack mit einer an sich legitimen App installiert werden. Alternativ sei die Infektion auch durch eine Spearphishing-Attacke oder auch beim physischen Zugriff aufs Gerät möglich.

Schädling fliegt unter dem Radar ein

Mittels der Administratorenrechte kann der Schädling dann direkt auf den Arbeitsspeicher des Smartphones zugreifen und ihn nach Schlagwörtern durchforsten, die auf eine im Good-Container angezeigte E-Mail hinweisen. Die Malware kopiert den betreffenden Speicherbereich einfach und schickt ihn verschlüsselt an den Command & Control-Server der Hintermänner.

An und für sich sollten die MDM-Lösungen Alarm schlagen, wenn der Anwender (oder eine Schadsoftware) sich root-Rechte verschafft. Laut Daniel Brodie und Michael Shaulov erkennen die Produkte aber nur generische Rootingversuche, in dem sie beispielsweise nach der Existenz von Cydia (Hinweis auf iOS-Jailbreak) oder SU (Root unter Android) suchen. Sie seien aber blind gegenüber Exploits, die nicht von der Stange kommen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38795420 / Mobile Security)