IoT-Risiken durch vorinstallierte Apps


Nicht nur Smartphones und Tablets werden mit vorinstallierten Apps geliefert, sondern viele IoT-Geräte auf Android-Basis, wie zum Beispiel Bordcomputer bei vernetzten Fahrzeugen. Sicherheitsforscher weisen auf Risiken hin, die durch die vorinstallierten Apps auftreten können. Die IoT-Sicherheit muss entsprechend erweitert werden.

Auf Tablets und Smartphones, die über Online-Plattformen auch in Deutschland gekauft werden können, kann sich vorinstallierte Schadsoftware befinden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Jahr 2019 berichtete das BSI über mehrere Fälle, die entsprechenden Geräte wurden von den Handelsplattformen entfernt, die Hersteller boten Firmware-Updates an. Das BSI hatte dann die bereitgestellten Firmware-Updates auf die Schadsoftware überprüft und konnte bestätigen, dass sie in der aktuellen Firmware nicht mehr enthalten war.

„Unsere Untersuchungen zeigen ganz deutlich, dass IT-Geräte mit vorinstallierter Schadsoftware offensichtlich keine Einzelfälle sind“, so BSI-Präsident Arne Schönbohm. „Um solche Angriffsszenarien zu verhindern, brauchen wir eine gemeinsame Anstrengung insbesondere seitens der Hersteller und der Händler, damit künftig derartig unsichere Geräte gar nicht erst verkauft werden können.“

Vorinstallierte, verseuchte Firmware und Apps mit Schadsoftware sind aber nicht auf Smartphones oder Tablets begrenzt, sie bedrohen alle Arten von IT- und IoT-Geräten, besonders wenn diese auf Android-Basis arbeiten.

Probleme in der IoT-Sicherheit

Perfide ist es, wenn vorinstallierte Schadsoftware in der mitgelieferten Firmware auftaucht, so das BSI. Antivirenprogramme erkennen die schädliche Software dann möglicherweise nicht, sodass Nutzerinnen und Nutzern keine Möglichkeit zur Bereinigung gegeben ist – solange nicht beispielsweise ein unabhängig geprüftes Update vorhanden ist.

Dr. Ryan Johnson, Forschungsleiter bei Kryptowire, stellte auf der IT-Defense 2020 das Risiko durch vorinstallierte Apps vor.

Dr. Ryan Johnson, Forschungsleiter bei Kryptowire, stellte auf der IT-Defense 2020 das Risiko durch vorinstallierte Apps vor.
(Bild: Oliver Schonschek)

Die Sicherheitsforscher Dr. Ryan Johnson und Dr. Angelos Stavrou von Kryptowire sprachen auf der IT-Defense 2020 in Bonn über Gefahren für die Lieferkette durch vorinstallierte Apps. Zur Sicherstellung ihrer Funktionsfähigkeit sind auf Android-Geräten bestimmte Apps vorinstalliert. Diese vorinstallierten Apps sind aufgrund ihrer privilegierten Position und umfassenden Möglichkeiten ein attraktives Ziel für Angreifer. Diese Bedrohung ist nicht nur theoretischer Natur, in etlichen vorinstallierten Apps gab es bereits Designschwachstellen, die den Nutzer einem erheblichen Risiko aussetzten.

Vorinstallierte Apps können zu einer großen Zahl an Schwachstellen führen, die zum Beispiel personenbezogene Daten gefährden, so Dr. Ryan Johnson.

Vorinstallierte Apps können zu einer großen Zahl an Schwachstellen führen, die zum Beispiel personenbezogene Daten gefährden, so Dr. Ryan Johnson.
(Bild: Oliver Schonschek)

Deshalb sind bei vorinstallierten Apps zusätzliche Überprüfungen notwendig, mit denen ein Missbrauch von Berechtigungen anderer Apps (sogenannte Capability Leaks) oder Angriffsgefahren in der Lieferkette erkannt werden sollen.

Angesichts der großen Menge an Android-Vendor-Firmware-Images mit vorinstallierten Apps empfehlen die Sicherheitsforscher, diese vor ihrer Bereitstellung proaktiv zu scannen. Mithilfe einer automatisierten Untersuchung vorinstallierter Android-Apps lassen sich demnach potenzielle Gefahren erkennen und eindämmen. Kryptowire hat in den letzten Jahren über 150 Schwachstellen im Android-Ökosystem identifiziert und veröffentlicht. Dies macht das Ausmaß des Problems der Softwareanalyse und -verifizierung für Mobilfunkunternehmen sowie Chipsatz- und Gerätehersteller deutlich.

Wie vorinstallierte Apps zur Gefahr werden

Es stellt sich die Frage, warum es solch ein hohes Risiko durch vorinstallierte Apps gibt, sei es bei Smartphones und Tablets, sei es bei IoT-Lösungen im Bereich Industrie 4.0 oder Connected Cars:

  • Viele Geräte werden mit vorinstallierter Software geliefert, die nicht in offiziellen App Stores vorhanden ist. Die Sicherheitsprüfungen der App-Stores können also nicht greifen.
  • Der Anti-Malware-Schutz geht meist von einem sicheren Werkszustand aus und prüft nur die Änderungen, wie zum Beispiel die Installation zusätzlicher Apps.
  • Bestimmte Funktionen und Apps können vom Nutzer nicht deaktiviert oder deinstalliert werden, sie werden zur (erweiterten) Firmware gerechnet. Häufig kann der Nutzer die vorinstallierten Apps gar nicht „sehen“, also sich anzeigen lassen.
  • Die vorinstallierten Apps sind privilegierte Apps und Apps mit Systemzugriff. Sie können anfällig für den Missbrauch durch andere Apps oder unerlaubte Zugriffe sein, sowohl lokal als auch aus der Ferne.
  • Vorinstallierte Apps können aber auch selbst bösartig sein, eine Backdoor-Funktionalität haben und unerlaubt Daten auslesen.
Dr. Ryan Johnson empfiehlt, dass Firmware öffentlich gemacht wird, damit sie auf Schwachstellen geprüft werden kann, bevor man ein IoT-Gerät erwirbt oder ein Update einspielt.

Dr. Ryan Johnson empfiehlt, dass Firmware öffentlich gemacht wird, damit sie auf Schwachstellen geprüft werden kann, bevor man ein IoT-Gerät erwirbt oder ein Update einspielt.
(Bild: Oliver Schonschek)

Die Risiken entstehen letztlich durch unsichere Prozesse in der Entwicklung und Bereitstellung der Firmware für die IoT-Geräte. Die Anbieter passen den offiziellen Android-Code selbst an. Das Problem: Im Softwarebereich unerfahrene Hardwarelieferanten stellen Software bereit und stellen unabsichtlich vertrauliche Funktionen zur Verfügung, die Dritte ausnutzen können.

Was in der IoT-Sicherheit geschehen muss

Bei der Vielzahl an Android-Firmware-Versionen und Apps ist es nicht möglich, jede neue Android-Firmware-Version aller Anbieter und deren nachfolgende Updates manuell zu analysieren. Die Sicherheitsforscher empfehlen deshalb eine Automatisierung der Tests von Android-Firmware-Versionen.

Im Idealfall stellt der Anbieter dazu seine Firmware-Images zum Download öffentlich zur Verfügung. Dann kann man vor der Entscheidung für eine IoT-Lösung die Firmware testen oder testen lassen, ebenso bei anstehenden Updates. Alternativ könnten die Hersteller selbst die Firmware automatisiert testen oder testen lassen und durch Dritte die Sicherheit zertifiziert bekommen.





Source link

Related posts