:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wi-Fi- und Code-Schwachstellen bei Kinder-Tablets Sichere Softwareentwicklung beginnt im Kleinen
Bei Tablets mit Lern- und Spiele-Apps verlassen sich Eltern darauf, dass die Geräte gefährliche Inhalte filtern und Apps abgesichert sind. Doch auch hier finden sich Sicherheitslücken, wie das Checkmarx Security Research Team am Beispiel des LeapPad Ultimate von LeapFrog zeigen konnte.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die interaktiven Spielzeuge des US-amerikanischen Herstellers LeapFrog verbinden Lernangebote spielerisch mit neuester Technologie. Sie sind äußerlich robust, funktionieren auch ohne WLAN-Verbindung und kommen mit einem breiten Angebot vorinstallierter Spiele, Videos, eBooks und Apps für Kinder zwischen drei und sechs Jahren.
Die Produkte werden auf dem amerikanischen und europäischen Markt vertrieben und sind auch in vielen deutschen Online-Shops erhältlich. Dabei gelten die Geräte mit ihrem eingeschränkten Netzzugang, ihrer proprietären Hardware und ihrem jugendfreien App-Angebot als vergleichsweise sichere Alternative zum „richtigen“ Tablet.
Um zu testen, wie es um die Sicherheit der Geräte tatsächlich steht, stellte das Checkmarx Security Research Team das LeapPad Ultimate auf den Prüfstand – und dokumentierte dabei gravierende Design- und Code-Schwächen. LeapFrog nahm den 2019 publizierten Report zum Anlass für eine Reihe sicherheitsrelevanter Patches und Software-Updates und entfernte eine anfällige App vollständig aus dem Angebot.
Hier der Testverlauf und die Resultate im Überblick:
1. Schwachstellen im Design: PetChat
Im ersten Schritt nahmen sich die Security-Experten die App „PetChat“ vor – einen LeapFrog-Chatroom, in dem Kinder über Avatare und vorgegebene Phrasen und Emoticons miteinander sprechen können. Da es sich bei PetChat um eine proprietäre Plattform handelt und die Kinder auch nicht mehr als 30 Meter voneinander entfernt sein dürfen, wirkt die Kommunikationsplattform auf den ersten Blick sehr sicher.
Die App basiert allerdings nicht etwa auf etablierten WLAN-Standards, sondern nutzt ein eigenes Wi-Fi-Design. Dabei werden kontinuierlich neue Ad-hoc-WLAN-Verbindungen aufgebaut und mit der SSID „PetChat“ an andere kompatible Geräte in der Nähe gesendet.
Das Research-Team erkannte schnell, dass sich die ad hoc errichteten Hotspots sehr einfach mit Suchmaschinen wie WiGLE (einer Website, die Informationen zu Wireless-Hotspots rund um den Globus bereitstellt) lokalisieren lassen. Auf diese Weise könnten Angreifer mit ganz legalen Tools jederzeit den Standort des LeapPads – und damit den des Kindes – identifizieren.
Dies wiegt umso schwerer, als dass das PetChat-Protokoll keine echte User-Authentifizierung unterstützt und keine Identitätsprüfung zwischen dem Gerät eines Außenstehenden und dem Gerät eines Kindes erfordert. Das bedeutet, dass Fremde die Kinder am LeapPad nicht nur lokalisieren, sondern ihnen aus bis zu 30 Metern Entfernung Nachrichten senden könnten. In diesem Zusammenhang sind selbst scheinbar harmlose, voreingestellte Sätze wie „Komm raus zum Spielen!“ äußerst bedrohlich.
Welche Lehren sich daraus ziehen lassen
Bei der PetChat-Schwachstelle handelt es sich um einen klassischen Designfehler. Die proprietäre Ad-hoc-WLAN-Verbindung meldet das Gerät permanent im drahtlosen Netzwerk an und ab, wodurch sich die Angriffsfläche massiv vergrößert.
Dies ist umso ärgerlicher, als die Schwachstelle leicht vermeidbar gewesen wäre, wenn sich die App-Entwickler einfach an den etablierten Industriestandards für den WLAN-Access orientiert hätten. Diese weisen ein wesentlich höheres Sicherheitslevel auf als eigenentwickelte Lösungen – und werden zudem kontinuierlich von der Community weiterentwickelt.
2. Sicherheitslücken im Code
Im zweiten Schritt untersuchte das Research-Team den Code der Anwendungen auf dem Tablet. Dafür schlüpften die Experten in die Rolle des Angreifers: Sie richteten mit WiFi-Pumpkin einen Rogue Access Point ein und leiteten den Traffic des Tablets auf das neu erstellte Rogue-Netzwerk um. Auf diese Weise waren sie als Man-in-the-Middle (MitM) in der Lage, die Kommunikation zwischen Client und Server abzufangen und zu manipulieren.
Dies ist vor allem dann ein Problem, wenn der Traffic – wie beim LeapPad – nicht vollständig via HTTPS verschlüsselt, sondern zum Teil in Klartext (HTTP) übertragen wird. Denn dann ist es dem Angreifer möglich, die übermittelten Inhalte mitzulesen und sogar eigenen Code in den Traffic zu injizieren, etwa, um Bild und Text zu ändern.
Einfallstor XSS
Über das WiFi-Pumpkin-Netzwerk konnte das Checkmarx-Team eine Vielzahl relevanter personenbezogener Informationen abfangen, darunter etwa:
- Kreditkarteninformationen (Kartenmarke, Name des Besitzers, Kreditkartennummer mit sechs fehlenden Ziffern, Ablaufdatum, Rechnungsadresse und Telefonnummer)
- Daten der Eltern (E-Mail, Name, Kontostand, Adresse)
- Daten des Kindes (Name, Geschlecht, Geburtsjahr und Geburtsmonat)
Diese waren zwar durch HTTPS-Verschlüsselung und Cross-Origin Resource Sharing geschützt. Das Team konnte die Sicherheitsvorkehrungen aber mittels einer Kombination aus Cross-Site-Scripting (XSS) und Iframes umgehen.
Beim XSS-Exploit nutzen die Angreifer eine Sicherheitslücke auf dem Client oder dem Server aus, um Schadcode in vermeintlich vertrauenswürdige Umgebungen einzubetten. So lassen sich mit XSS etwa Internetseiten verändern, Browser übernehmen oder vertrauliche Informationen wie Passwörter entwenden.
Anschließend nahmen die Checkmarx-Experten den geräteeigenen Web-Browser LeapSearch ins Visier, um die letzten fehlenden Informationen (namentlich die fehlenden sechs Ziffern der Kreditkartennummer) zu extrahieren. Dafür erstellten sie eine dem echten Browser zum Verwechseln ähnliche „Phishing-Version“ des Portals.
Dort wurde der Anwender dazu aufgefordert, die hinterlegte Kreditkartennummer zwecks Authentisierung zu vervollständigen. Da der LeapSearch Browser über keine URL-Leiste verfügt und die Hacker viele im ersten Schritt abgefangene Daten einbinden konnten, war die präsentierte Kopie sehr überzeugend – und hätte zweifellos die meisten Eltern getäuscht.
Welche Lehren sich daraus ziehen lassen
XSS gehört zu den häufigsten Schwachstellen moderner Web-Anwendungen. Entsprechend gut dokumentiert ist auch, wie man sich dagegen schützt: So empfehlen die OWASP Secure Coding Practices den Entwicklern unter anderem, den User-Input stets sorgfältig zu validieren und zu bereinigen, den User-Output zu codieren und mittels Whitelisting die Nutzung unerlaubter Zeichen zu unterbinden. In kritischen Umgebungen – etwa bei der Programmierung von Software für Kinder – ist es darüber hinaus empfehlenswert, in eine dedizierte Software-Security-Plattform zu investieren, die den gesamten SDLC abdeckt.
Reaktion seitens LeapFrog
Nach Abschluss der Untersuchung dokumentierte das Research-Team die Ergebnisse, fasste sie in einem Bericht zusammen und leitete diesen an LeapFrog weiter. Das Unternehmen reagierte vorbildlich: Es nahm die Sicherheitsrisiken sehr ernst und handelte schnell.
Bereits kurz nach Erscheinen des Berichts entfernte LeapFrog PetChat aus sämtlichen Stores, da der Designfehler nicht durch einen Software-Patch zu beheben war. Sofern das Gerät älter als drei Jahre ist empfehlen die Checkmarx-Experten den Eltern, die Anwendung manuell zu deinstallieren oder nicht zu verwenden. Die Sicherheitslücken behob das Unternehmen zeitnah mit Patches.
„Der Schutz der Kinder, die unsere Produkte verwenden, [hat] oberste Priorität […]“, unterstrich Mari Sunderland, Vizepräsidentin für digitales Produktmanagement. Checkmarx sei hilfsbereit, ethisch und professionell vorgegangen. „Mit den bereitgestellten Informationen konnten wir sofort die nötigen Maßnahmen zur Behebung der Probleme ergreifen.“
Fazit
Hersteller von internetfähigen Devices legen viel Wert auf Effizienz und schnelle Produktzyklen. Die Software-Sicherheit wird aber oft erst im Nachlauf der Entwicklung angegangen. Dabei muss die Sicherheit gerade bei Software für Kinder bereits in der Entwicklung an erster Stelle stehen, da das Gefahrenpotenzial bei Kindern wesentlich höher ist. Auch ist der Umgang mit der Technologie bei den sehr jungen Usern vollkommen unkalkulierbar.
Mit einer vollumfänglichen Software-Security-Lösung, die automatisierte Test- und Optimierungsprozesse nahtlos in den Software Development Lifecycle einbettet, lassen sich Programmierfehler in Anwendungen bereits in der Entwicklungsphase vermeiden. So minimieren Hersteller das Angriffsrisiko ihrer Produkte, ohne die Entwicklungsgeschwindigkeit zu beeinträchtigen.
Interessierte Leser finden den vollständigen Report zum LeapPad-Testing auf den Seite von Checkmarx.
* Dr. Christopher Brennan ist Director DACH bei Checkmarx.
(ID:46222101)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913841/original.jpg "Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden. (Synopsys)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881700/1881745/original.jpg "APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu. Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv. (Sergey Nivens - stock.adobe.com)")