- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Sicherheitslücke bei App-Werbung von Baidu





Update-Mechanismus mit Sicherheitsleck: Das "Baidu Mobile Advertising SDK" ist kostenlos verfügbar und kann mit nur geringem Fachwissen in jede Anwendung integriert werden
Baidu ist ein in China sehr erfolgreiches Web-Service-Unternehmen, das Entwicklern von mobilen Apps ein SDK zur Erzeugung von Werbeanwendungen zur Verfügung stellt

(19.08.15) - Das Forschungsteam von Bitdefender hat herausgefunden, dass der Update-Mechanismus des Baidu Mobile Advertising SDK (Software Development Kit) eine Sicherheitslücke aufweist. Sie erlaubt die Ausführung von Remote Code über einfache Man-in-the-Middle-Attacken. Diese Angriffe sind durch die Nutzung eines unsicheren Kommunikationskanals (HTTP-Protokoll) im Update-Prozess einer Komponente (_pasys_remote_banner.jar) möglich.

Baidu ist ein in China sehr erfolgreiches Web-Service-Unternehmen, das Entwicklern von mobilen Apps ein SDK zur Erzeugung von Werbeanwendungen zur Verfügung stellt. Damit können sie von Baidu genehmigte Anzeigen in ihre Apps einbinden. Das "Baidu Mobile Advertising SDK" ist kostenlos verfügbar und kann mit nur geringem Fachwissen in jede Anwendung integriert werden. Auch in Deutschland können Nutzer von der Schwachstelle betroffen sein, insbesondere wenn sie international verfügbare Android-Apps verwenden.

Das Baidu Mobile Advertising SDK besitzt zwei wichtige Komponenten. Eine befindet sich direkt in "classes.dex". Sie sorgt dafür, dass die Library nach dem Build in den "classes.dex" Code gelangt. Die zweite ist die betroffene .jar-Datei, die sich in einem eigenen Ordner der APK befindet, die beim Start der Anwendung dynamisch durch das erste Modul geladen wird. Obwohl die Forscher in den realen Tests mit Hilfe des von ihnen entwickelten Proof of Concepts (PoC) nicht die angreifbare Version der ersten Komponente ermitteln konnten, identifizierten sie mehrere implementierte Versionen in der Datei MANIFEST.MF der zweiten Komponente mit der Sicherheitslücke. Dazu zählen unter anderem die Versionen 3.83, 3.71 und 3.68. Aktuell wird die Version 3.93 oder 3.92 heruntergeladen.

Da die gesamte Kommunikation über HTTP abgewickelt wird, könnte ein Angreifer diese einfach abfangen und ein speziell erstelltes Softwarepaket einschleusen, um persönliche und private Daten zu sammeln, die sich auf dem genutzten Gerät befinden.

Der von Bitdefender erzeugte PoC nutzt einen Man-in-the-Middle-Proxy, der als veränderte Version der originalen JAR-Datei dient. Die geänderte Version wird automatisch beim nächsten Start der betroffenen Applikation geladen. Die modifizierte Version der Datei _pasys_remote_banner.jar integriert Code, der private Daten wie Google-Konto, Telefonnummer, Kontakte oder Ort auszulesen versucht. Dies erfolgt gemäß der Zugriffserlaubnisse der Anwendung, die das Advertising SDK enthält. Anschließend werden die Daten zu einem Web Service übertragen. Im nächsten Schritt lädt die Schadsoftware Fotos vom Standard-Speicherort der Kamera-Anwendung hoch. Schließlich zeigt der PoC von Bitdefender eine Botschaft in einem kleinen Popup-Menü an, das einige gesammelte Daten enthält.

Dieser PoC beweist, dass ein Angreifer die Schwachstelle ausnutzen kann, um auf einfache Weise hochsensible und persönliche Nutzerdaten auszulesen. Verschiedene Studien haben gezeigt, dass BYOD (Bring Your Own Device) in Unternehmen sehr häufig ist, wobei ein Gerät für berufliche und private Daten genutzt wird. Dies bedeutet, dass ein Angreifer möglicherweise auf viel mehr als nur ein paar persönliche Fotos zugreifen kann, zum Beispiel auf sensible Unternehmensinformationen. Dadurch können große Schäden entstehen.

Bitdefender empfiehlt Nutzern dringend, eine mobile Sicherheitslösung zu verwenden, die schädliche Anwendungen identifizieren kann, sowie Apps zur Datenschutzprüfung zu installieren. Diese bieten zusätzliche Informationen darüber, wie sich installierte Anwendungen verhalten sowie welche Daten sie abrufen und wohin schicken. (Bitdefender: ra)

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Sicherheitslecks

  • BlueKeep-Sicherheitslücke Wochen bekannt

    Vor ein paar Wochen wurde die BlueKeep-Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte. Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.

  • Ein Hardware-Designfehler

    Ein Bitdefender-Forscherteam hat eine Schwachstelle bei einigen modernen Intel-CPUs aufgedeckt. Diese wird in einem Sicherheitshinweis dokumentiert, der am 14. Mai 2019, 19 Uhr deutscher Zeit, veröffentlicht worden ist. Die neue Schwachstelle namens YAM ("Yet Another Meltdown") überwindet die architektonischen Sicherheitsvorkehrungen des Prozessors und ermöglicht es unprivilegierten Anwendungen im normalen Benutzermodus, auf dem betroffenen Computer verarbeitete Kernel-Modus-Speicherinformationen zu stehlen.

  • Privilegien-Erweiterung durch Dritte

    Kaspersky Lab hat eine zuvor unbekannte Schwachstelle - eine so genannte Zero-Day-Schwachstelle - in Microsoft Windows entdeckt. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

  • Neue Technik findet Sicherheitslücke

    Als Forscher 2018 die Sicherheitslücken Meltdown und Spectre bei bestimmten Prozessoren entdeckten, waren vor allem Chiphersteller von High-end-Prozessoren wie Intel betroffen. Zunutze gemacht hatten sie sich hier sogenannte Seitenkanäle der Hardware, mit denen sie an Daten gelangt sind. Dass es ähnliche Lücken auch bei anderen Prozessoren gibt, haben nun Forscher aus Kaiserslautern und Stanford gemeinsam erstmals gezeigt. Diese Prozessoren spielen etwa in sicherheitsrelevanten Bereichen von eingebetteten Systemen eine Rolle, zum Beispiel beim Autonomen Fahren. Abhilfe schafft ein Verfahren, das die Forscher entwickelt haben. Es spürt die Lücken schon beim Entwickeln der Hardware auf.

  • Sicherung industrieller Steuerungssysteme

    Die Experten von Kaspersky Lab haben in der IoT-Plattform "ThingsPro Suite" sieben neue, bisher unbekannte Schwachstellen (Zero Day) entdeckt und geholfen, diese zu schließen. Die im industriellen Umfeld eingesetzte Lösung ermöglicht die Datenerfassung und Remote-Analyse industrieller Kontrollsysteme (ICS, Industrial Control Systems). Einige der identifizierten Sicherheitslücken hätten Cyberangreifern die Möglichkeit eröffnet, umfassend auf industriell genutzte IoT-Gateways zuzugreifen und für Arbeits- und Produktionsabläufe folgenschwere Befehle auszuführen. Alle identifizierten Schwachstellen sind inzwischen von Moxa, dem Entwickler der Plattform, behoben worden.