- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Gefährdetes Plug-in installiert


Certifi-gate-Schwachstelle: Neue Statistiken, In the Wild-Exploit und Problembehebung
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten

(08.09.15) - Im Rahmen der Black Hat USA 2015 gab das Check Point-Forschungsteam die Certifi-gate-Schwachstelle öffentlich bekannt. Das Team stellte auch eine Scanner-App zur Verfügung, die Geräte auf Schwachstellen prüft und Nutzern die Möglichkeit bietet, Scan-Ergebnisse mit Check Point zu teilen. Das Forscherteam verwendete die Daten aus den Scans, um mehr Einblick in die Gefährdungslage, die Problembehebung und neu identifizierte Exploits von Certifi-gate bieten.

Überblick
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten. Dadurch war man in der Lage, die Gefährdungen nach unterschiedlichen Geräten, Herstellern und Anbietern von Mobile Remote Support Tools (mRST) aufzuschlüsseln. Nutzer sind dabei drei primären Gefahren ausgesetzt:

Beeinträchtigtes Gerät
Das Gerät ist von einer Certifi-gate-Schwachstelle betroffen, ein ungeschütztes mRST-Plug-in ist installiert und eine Drittanbieter-Anwendung nutzt den Plug-in aus, um erweiterten Zugriff auf das Gerät und seine sensiblen Ressourcen zu erlangen (das heißt den Bildschirm oder das Keyboard, usw.).

Gefährdetes Plug-in installiert
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen und ein verwundbares mRST-Plug-in ist auf dem Gerät installiert. Jede bösartige Anwendung kann das installierte Plug-in ausnutzen und die volle Kontrolle über das Gerät übernehmen.

Gefährdetes Gerät erkannt
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen. Eine bösartige Anwendung muss ein verwundbares Plug-in installieren, bevor der Exploit fortgesetzt werden kann.

Recordable Activator – In-The-Wild Certifi-gate-Exploit
Die untersuchten Certifi-gate-Scans deuteten auf mehrere Geräte mit einer installierten App hin, die Sicherheitslücken ausnutzt. Recordable Activator, eine App, die von Invisibility Ltd., einem Unternehmen mit Sitz in Großbritannien, entwickelt wurde, und die auf Google Play zwischen 100.000 und 500.000 Downloads erzielt, hat die Certifi-gate-Schwachstelle erfolgreich ausgenutzt. Dabei hat sie das Android-Berechtigungsmodell umgangen und den Plug-in von TeamViewer genutzt, um auf Systemebene auf Ressourcen zuzugreifen und den Geräte-Bildschirm zu erfassen.

Die gründliche Analyse der App zeigt die ungewöhnlichen Merkmale der Certifi-gate-Schwachstelle auf.

Recordable Activator - Überblick
Eine Teilkomponente in einem Mehrkomponenten-Dienstprogramm, EASY Screen Recorder NO ROOT” genannt, soll Nutzern dabei helfen, den Gerätebildschirm zu erfassen. Auf Google Play wird es folgendermaßen beschrieben:

Recordable ist die einfache Art, qualitativ hochwertige Bildschirmaufnahmen auf Android zu erzeugen. …
>>Einfach zu installieren und benutzerfreundlich
>>Kein Root erforderlich

Android hindert gewöhnliche, Nicht-System-Apps daran, mit der Funktion der Bildschirmerfassung zu interagieren, da dies erhebliche Risiken für die Sicherheit und den Datenschutz mit sich bringt. Daher steht diese Funktion normalerweise nur vertrauenswürdigen Apps auf Systemebene oder Apps auf gerooteten Geräten zur Verfügung.

Um diese Funktion zur Verfügung zu haben, installieren "EASY Screen Recorder NO ROOT” und seine Teilkomponente "Recordable Activator” auf Abruf eine gefährdete Version des TeamViewer Plug-ins. Da das Plug-in von verschiedenen Geräteherstellern signiert ist, wird es von Android als vertrauenswürdig erachtet und erhält Berechtigungen auf Systemebene.

Von dieser Stelle aus nutzt "Recordable Activator” die Authentifizierungsschwachstelle und verbindet sich mit dem Plug-in, um den Gerätebildschirm zu erfassen.

Was den Schutz der Interaktion mit Teilkomponenten angeht, haben die Entwickler von "Recordable Activator" aus Sicht unseres Forscherteams keine gute Arbeit geleistet. Und die Kommunikation mit der "Recordable Activator”-Komponente kann ohne Authentifizierung gespooft werden, wodurch alle bösartigen Apps den Bildschirm des Geräts erfassen können.

Die "Recordable Activator"-App zeigt im Zusammenhang mit Certifi-gate folgende inhärente Probleme:

>> Nicht privilegierte Anwendungen können eine Schwachstelle ausnutzen, um die vollständige Kontrolle über ein Gerät zu erlangen, ohne von Android Genehmigungen anfordern zu müssen.

>> Auch nachdem TeamViewer seine offizielle Version in Ordnung gebracht hat, können Angreifer noch immer alte Versionen des Plug-ins für böswillige Handlungen missbrauchen.

>> Mobilgeräte können sogar ausgenutzt werden, wenn kein gefährdeter Plug-in auf dem Gerät vorinstalliert war.

>> Apps, die diese Schwachstellen ausnutzen können, findet man jetzt auf Google Play.

>> Für Hersteller besteht die einzige Lösung darin, die betroffenen Geräte mit aktualisierten ROMs zu versorgen.

Tiefgreifende Analyse
Aufbau:
Das Dienstprogramm enthält zwei Hauptkomponenten: die Recording-App (uk.org.invisibility.recordable oder uk.org.invisibility.recordablefree) und ein Recordable Plug-in (uk.org.invisibility.activator).

Download eines gefährdeten Plug-ins:
Die eigentliche App unterstützt das Installieren des Plug-ins oder die Nutzung einer Root/adb-Shell, um die Bildschirmaufnahme mithilfe anderer Mittel zu ermöglichen. Entschließt sich der Nutzer, das Plug-in zu installieren, lädt das Plug-in, während es läuft, den TeamViewer Plug-in APK auf Basis des jeweiligen Zertifikats des Geräteherstellers herunter.

Vorgang:
Der Recordable-Plug-in exportiert einen Dienst, der den TeamViewer Plug-in-Dienst einhüllt, und authentifiziert mit dem gespooften Zertifikatfeld. Danach verbindet sich die Recording-App mit dem Plug-in-Dienst von Recordable, der sich dann wiederum mit dem TeamViewer-Plug-in verbindet und dieses Verbindungsobjekt zur Recording-App zurückbringt. Von diesem Punkt aus kann die primäre Recording-App direkt mit dem TeamViewer-Plug-in kommunizieren. Der Recordable Plug-in-Dienst verfügt über keine Sicherheitsvorkehrung, die verhindert, dass Dritte sich mit ihm verbinden können.

Der Recordable-Plug-in liefert nur eine Bildschirm-Erfassungs-Funktion.

Problembehebung
Folgende Empfehlungen können zusammengefasst werden, um die Folgen der Certifi-gate-Schwachstelle auf einem Gerät zu minimieren -

Gefährdetes Gerät
Das Gerät ist gefährdet und man sollte sich an seinen Mobilfunkbetreiber oder Gerätehersteller wenden (Samsung, LG und weitere) und nachfragen, wann ein Patch oder Fix geliefert wird.

>> Die Schwachstelle kann mithilfe eines neuen ROM, das Zertifikate widerruft, mit denen alte, gefährdete Plug-ins signiert waren, vollständig beseitigt werden. Soweit heute bekannt, wurde von den Geräteherstellern kein Patch geliefert.

>> Aktuell empfiehlt sich, nur vertrauenswürdige Apps herunterzuladen und nachdem Installieren fragwürdiger Apps, die Certifi-gate-Scanner-App auszuführen.

>> Falls man aufgefordert wird, ein Plug-in für ein mobiles Remote-Support-Tool zu installieren, sollte man das Löschen der Installation erwägen.

Gefährdetes Plug-in
Auf dem Endgerät ist bereits ein gefährdetes Plug-in installiert.

1. Man sollte versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

2. Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Dann muss man sich in diesem Fall an den Gerätehersteller wenden und nach einer Lösung fragen.

3. Man sollte stets auf die Vertrauenswürdigkeit der heruntergeladenen Apps achten und nachdem Installieren fragwürdiger Apps die Certifi-gate Scanner-App ausführen.

Beeinträchtigt
Auf dem Gerät ist bereits das gefährdete Plug-in installiert und es ist auch eine Drittanbieteranwendung vorhanden, die das Plug-in ausnutzt.

>> Versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

>> Versuchen, die beeinträchtigende App zu lokalisieren und deinstallieren.

>> Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Hier muss man sich an den Gerätehersteller wenden und nach einer Lösung fragen.
(Check Point Software Technologies: ra)

Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Cyberangriffe mit politischem Hintergrund

    Die Gaza-Cybergang, die nach heutiger Erkenntnis aus mehreren Gruppierungen mit unterschiedlichem Niveau besteht, hat im vergangenen Jahr eine Cyberspionageoperation durchgeführt, die sich gegen Einzelpersonen und Organisationen mit einem politischen Interesse an der Nahostregion richtete. Dieses Ergebnis geht aus einer detaillierten Analyse von Kaspersky Lab hervor. Für die Kampagne ,SneakyPastes' nutzten die Angreifer Einweg-E-Mail-Adressen, um die Infektion durch Spear-Phishing zu verbreiten, bevor Malware mehrstufig über kostenlose Webseiten nachgeladen wurde. Dieser kostengünstige, aber effektive Ansatz ermöglichte es der Gang, rund 240 hochkarätige Opfer in 39 Ländern weltweit zu treffen - darunter unter anderem Ziele aus dem politischen und diplomatischen Bereich sowie Medien und Aktivisten. Kaspersky Lab hat die Forschungsergebnisse umgehend an die Strafverfolgungsbehörden weitergegeben, die so einen bedeutenden Teil der Angriffsinfrastruktur zerstören konnten.

  • Ein ausgereiftes APT-Framework

    Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework entdeckt, das seit mindestens 2013 aktiv ist und mit keinem bekannten Bedrohungsakteur in Verbindung zu stehen scheint. Die Spionageplattform ,TajMahal' umfasst rund 80 schädliche Module und enthält Funktionen, die bisher noch nie bei einer Advanced Persistend Threat (APT) gesehen wurden. So können unter anderem Informationen aus der Drucker-Warteschlange gestohlen und zuvor gesehene Dateien auf einem USB-Gerät bei der nächsten Verwendung desselben abgerufen werden. Kaspersky Lab hat bisher nur ein Opfer gesehen, eine zentralasiatische Botschaft mit Sitz im Ausland. Die Wahrscheinlichkeit, dass weitere Opfer existieren, ist allerdings hoch.

  • Scranos wird zum Global Player

    Ausgeklügelte Bedrohungen gehören nach wie vor zu den großen Herausforderungen für Unternehmen. Mit zunehmender Komplexität der Umgebungen finden Malware-Akteure kreative Wege, um gut versteckte und ungepatchte Einstiegspunkte ins Netzwerk zu finden, sich hinter den Kulissen zu verstecken und Schaden anzurichten. Die Bitdefender Cyberthreat Intelligence Labs deckten mit Scranos jüngst eine neue Spyware auf. Scranos ist eine Rootkit-fähige Spyware, die mit einem möglicherweise gestohlenen Zertifikat signiert wurde. Diese Rootkit-Malware ist eng mit dem Betriebssystem verbunden, sehr diskret und schwer zu erkennen. Scranos wird sich voraussichtlich mindestens so weit verbreiten wie die Anzeigenbetrugssoftware von Zacinlo. Zacinlo ist ein extrem ausgeklügeltes Spyware-Programm, das seit Anfang 2012 heimlich läuft, Einnahmen für seine Betreiber generiert und die Privatsphäre seiner Opfer unterwandert. Scranos infiziert aktuell Anwender weltweit, weil es plattformübergreifend bestehen kann und es eine immer größere Zahl an Unternehmensendpunkten hinzugewinnt, insbesondere durch Android-Geräte.

  • Cisco entdeckt neuartige Angriffsmethode

    "Cisco Talos" hat eine neuartige Angriffsmethode entdeckt. Darüber spionierten Cyberkriminelle u.a. Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich auszuführen, deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen. "Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln", erklärt Holger Unterbrink, Security Researcher - Technical Leader, Cisco Talos/Deutschland.

  • APT40 zielt auf Nachrichtendienstziele

    FireEye gibt neue Informationen zur Hacker-Gruppe APT40 bekannt, die bereits seit mindestens 2013 tätig ist. Ziel der Gruppe ist vermutlich, die Aktivitäten der chinesischen Marine zu unterstützen. APT40 konzentriert sich speziell auf die Bereiche Maschinenbau, Transport und Verteidigungsindustrie, insbesondere dort, wo sich diese Sektoren mit den maritimen Technologien überschneiden. Die Gruppe ist auch bekannt als TEMP.Periscope beziehungsweise TEMP.Jumper.