Honeydroid: Android-Handy wird zur Hackerfalle

Experten der Deutschen Telekom machen aus Android-Smartphones mobile Honeypots. So haben sie in drei Monaten über 10.000 Angriffe auf ein einzelnes Gerät im Mobilnetz protokollieren können.

In Pocket speichern vorlesen Druckansicht 84 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Sicherheitsexperten der Deutschen Telekom verwandeln Android-Handys in mobile Hackerfallen. Im Rahmen des Honeydroid-Projektes haben sie momentan mit einem HTC Desire und einem Samsung Galaxy S4 zwei Prototypen in Betrieb. Die Telekom betreibt seit 2011 Mobilfunk-Honeypots, diese basieren allerdings auf Servern, auf denen virtuelle Maschinen laufen und sich als Smartphones ausgeben. Honeydroid dagegen macht ein normales Android-Handy zur Hackerfalle. Mit dieser Methode muss das mobile Betriebssystem nicht mehr emuliert werden, es sind allerdings einige Kniffe nötig, um die Angriffe auf das Handy protokollieren zu können.

Zuerst muss das Android-Handy gerootet werden, um dann mit Hilfe des freien Galoula-Tools ein eigenständiges Linux-System mit Busybox und einem Ubuntu-Dateisystem zu installieren. Das ist notwendig, um die eigentlichen Honeypot-Programme zu kompilieren und dann zu installieren. Die Open-Source-Programme Kippo und Honeytrap protokollieren die verschiedenen Angriffe auf das Handy. Um Statistiken über die Angriffe komfortabel auslesen zu können, hat Telekom-Spezialist André Vorbach eine Android-App entwickelt, die diese Daten aus dem Ubuntu-Dateisystem ausliest und mit Hilfe einer Browseransicht im Android-System anzeigt.

Die Benutzeroberfläche der Honeydroid-App fasst Angriffe in Echtzeit zusammen.

Im Gespräch mit heise Security sagte Vorbach, dass Android und die Honeypot-Umgebung flüssig und stabil zusammen laufen und mit den Geräten eine gute Akku-Laufzeit erreichen. Ein Smartphone würde im Schnitt 100 bis 500 Angriffsversuche pro Tag aufzeichnen; in den letzten drei Monaten kamen so über 10.000 Angriffe zusammen. Wie auch schon die anderen Smartphone-Honeypots meldet Honeydroid alle Angriffe automatisch an das Frühwarnsystem der Telekom. Noch sind die Honeydroids allerdings reine Prototypen. In der Produktion verwendet die Telekom nach wie vor Server mit virtuellen Maschinen, die sich als Smartphones ausgeben. Diese sind pflegeleichter und lassen sich besser in bestehende Netzwerkinfrastruktur integrieren.

Die von der Telekom protokollierten Angriffe sind für Endbenutzer allerdings nur von begrenzter Relevanz. Die mobilen Honeypots benutzen einen speziellen Business-AP des Unternehmens und haben deswegen feste öffentliche IP-Adressen. Die Handys von Endbenutzern sind in der Regel mit Carrier-grade NAT voneinander abgeschirmt und aus dem Internet nicht direkt zu erreichen. Auch sind die meisten Angriffe wenig spezifisch und würden auf einem standardmäßig konfigurierten Smartphone keinen Schaden anrichten. So loggt Honeytrap zum Beispiel Zugriffsversuche im gesamten TCP-Bereich, also auch auf Ports die auf standardmäßig konfigurierten Smartphones abgedichtet sind. (fab)