Android-Provisioning-Angriff: Vorsicht vor gefälschten Provider-Konfigurationen
Millionen von Android-Geräten können mit gefälschten OMA-CP-Nachrichten in Wanzen verwandelt werden – allerdings nur, wenn der Benutzer nicht aufpasst.
Mobilfunkanbieter und IT-Abteilungen in Firmen können die Geräte ihrer Kunden oder Mitarbeiter mit speziellen SMS-Nachrichten mit Netzwerk-Einstellungen versorgen. Die meisten Verbraucher kommen mit diesem sogenannten Provisioning eher selten in Kontakt, da Mobilfunkanbieter diesen Prozess meist an Daten auf der SIM-Karte koppeln und der Austausch von Netzwerk-Einstellungen unsichtbar im Hintergrund stattfindet. In den meisten größeren Firmen übernimmt die IT-Abteilung diesen Konfigurationsschritt für den Mitarbeiter. Diese Provisioning-Nachrichten können aber auch dafür missbraucht werden, die Nutzer der Endgeräte auszuspionieren.
Angriffe dieser Art sind schon seit längerem bekannt, aber bisher nie im großen Stil festgestellt worden. Sicherheitslücken im Provisioning-Protokoll der Open Mobile Alliance (OMA Client Provisioning), die nun entdeckt wurden, könnten allerdings in Zukunft zum Problem werden. Die Android-Geräte großer Hersteller wie Samsung, LG, Huawei und Sony sind oder waren allesamt angreifbar.
Der XML-basierte OMA-Client-Provisioning-Standard nutzt die alte WAP-Technik und wird von vielen Smartphones mit Android unterstützt. Die Verarbeitung solcher Provisioning-Nachrichten ist allerdings nicht per se Teil von Googles Betriebssystem, sondern wird von Hersteller-spezifischer Software übernommen. Apples Geräte verarbeiten solche Nachrichten gar nicht, da Apple sein eigenes Device-Management-Protokoll für iOS entwickelt hat. Die Sicherheitsfirma Check Point hat nun Schwachstellen in der Umsetzung dieser Funktionen in vielen Android-Smartphones bekannter Hersteller gefunden, die mindestens die Hälfte aller auf dem Markt befindlichen Geräte betreffen. Mit Hilfe dieser Schwachstellen kann ein Angreifer wichtige Netzwerkeinstellungen auf dem Smartphone manipulieren und den Besitzer auf diesem Wege ausspionieren. Laut Check Point kann die Lücke für effektive Phishing-Angriffe missbraucht werden, die fast unmöglich zu erkennen sind.
Meist reicht die IMSI als Authentifizierung
Wie einfach oder schwer diese Angriffe auszuführen sind, hängt vor allem vom Hersteller des betroffenen Smartphones ab. Samsung-Geräte akzeptieren OMA-CP-Nachrichten ohne jegliche Anmeldedaten. Schafft ein Angreifer es, den Nutzer dazu zu bekommen, die auf dem Display auftauchende Provisioning-Meldung abzunicken, kann er das Geräte so umkonfigurieren, dass sämtlicher Netzwerk-Traffic über Server unter seiner Kontrolle umgeleitet wird. Für eine Attacke auf Geräte von LG, Huawei und Sony braucht ein Angreifer die IMSI-Nummer des Opfers. Über diese International Mobile Subscriber Identity identifiziert der Mobilfunkanbieter in GSM-Netzen die Geräte seiner Kunden, weshalb die IMSI in der Regel als mehr oder weniger vertraulich behandelt wird.
Allerdings können die meisten Apps auf einem Smartphone die IMSI der vorhandenen SIM-Karten zu Identifikationszwecken auslesen. Außerdem existieren kommerzielle Dienste, die Datenbanken mit IMSI-Nummern und dazugehörigen Telefonnummern bereitstellen. Angreifer können die Abfrage der IMSI allerdings auch umgehen, wenn sie den Nutzer dazu kriegen, eine vom Angreifer bestimmte PIN bei der Installation der Provisioning-Konfiguration einzugeben. Check Point gibt zu bedenken, dass ein Angreifer eine solche PIN etwa in einer SMS auf das Gerät schicken könnte, die vorgibt, vom Netzbetreiber zu stammen.
Wie man sich schĂĽtzen kann
Samsung hat die Lücken in seiner Umsetzung des OMA-Provisioning bereits mit einem Android-Sicherheitsupdate im Mai behoben, LG hat ein ähnliches Update im Juli veröffentlicht. Laut der Check-Point-Forscher will Huawei das Problem in der Benutzeroberfläche von zukünftigen Modellen seiner Smartphones der Mate- und P-Serie beheben. Sony hat laut Check Point nicht auf die Warnungen der Forscher reagiert und stellt sich auf den Standpunkt, dass man lediglich der OMA-CP-Spezifikation folge.
Da diese Art Provisioning-Nachrichten bei Netzbetreibern hierzulande nur noch selten üblich sind, beziehungsweise nicht unangekündigt auf dem Gerät eines Kunden eintrudeln sollten, sind Nutzer gut damit beraten, Konfigurations-Popups, die vorgeben vom Netzbetreiber oder der IT-Abteilung der eigenen Firma zu sein, misstrauisch entgegenzutreten. Im Zweifel sollte man solche Meldungen nicht einfach abnicken und erst einmal bei der IT-Abteilung oder beim Kundendienst des Providers nachfragen. Sonst läuft man immerhin Gefahr, dass sämtlicher Netzwerkverkehr des eigenen Handys über zwielichtige Server umgeleitet wird. (fab)