Quasi alle Android-Geräte ab der Version 4.x (Ice Cream Sandwich) lassen sich durch Angriffe auf den Speicher mittels der Rampage-Methode manipulieren. Das ermöglicht ggf. sogar die Übernahme des Geräts durch Angreifern.
Anzeige
Hintergrund: Rowhammer
Rowhammer ist der Name für einen Hardware-Bug in Android-Geräten, der es ermöglicht, Daten im RAM zu manipulieren, ohne auf dieses zugreifen zu müssen. Grund ist die Art, wie Speicherzellen im RAM adressiert werden. Dazu muss lediglich eine Zelle im RAM-Speicher wiederholt ausgelesen werden. Irgendwann kippt in anderen Zellen ein Bit. Dieses Problem ist nicht auf Android-Geräte begrenzt, wurde jetzt aber praktisch in einem Proof-of-Concept ausgenutzt. Ich hatte 2016 im Artikel Drammer-Exploit nutzt Rowhammer-Lücke für Android-Root über dieses Thema berichtet. heise.de hat 2015 diesen Artikel mit Informationen zum Thema veröffentlicht.
Rampage als neue Angriffsmethode
Rampage ist eine auf der Rowhammer-Angriffstechnik basierende Angriffsmethode, um den Speicher von Android-Geräten zu manipulieren. Auf der Webseite rampageattack.com erfährt man näheres.
Rampage nutzt eine kritische Sicherheitslücke in modernen Smartphones aus, die es Apps ermöglicht, sich unberechtigten Zugriff auf das Gerät zu verschaffen.
Apps bzw. Anwendungen ist normalerweise nicht erlaubt, Daten von anderen Prozessen (Anwendungen bzw. Apps) zu lesen. Eine bösartiges Variante einer App kann einen Rampage-Exploit erstellen, um administrative Kontrolle über das Gerät zu erlangen und an die im Gerät gespeicherten (geheimen) Daten zu gelangen. Dann ließen sich Kennwörter in einem Passwortmanager oder Browser, persönliche Daten wie Fotos, E-Mails, Sofortnachrichten und sogar geschäftskritische Dokumente abziehen.
Anzeige
Die Angriffsmethode zielt auf das 2011 in Android 4.x (Ice Cream Sandwich) eingeführte ION-Subsystem zur Speicherverwaltung. ION soll eigentlich die Apps gegeneinander isolieren und Speicherzugriffe auf andere Prozesse verhindern. Die Forscher haben die Details in diesem Dokument veröffentlicht.
Guardian als Schutzmechanismus
Die Forscher haben auf der Webseite rampageattack.com allerdings auch eine 'Schutzlösung' mit dem Namen Guardian veröffentlicht. Problem an der Geschichte: Guardian lässt sich von Endnutzern nicht verwenden, sondern müsste in Android eingebaut werden. Ob und wann Google da springt, steht in den Sternen – ich würde vermuten, dass das eher bei lineage OS Einzug hält. Einige ergänzende Artikel finden sich noch hier und hier.
Meine 2 Cents
Ich bin mit Android seit der Version 1.6x unterwegs. Zu Beginn war Android eine geniale Geschichte, da konnte man die Funktionalität der Geräte mit Apps leicht erweitern. Aber Google hat es versäumt, die Basis für eine saubere Sicherheitsarchitektur mit Sicherheitsupdates über ein Geräteleben zu legen.
Heute ist Android sicherheitstechnisch nur noch eine Ruine, die man eigentlich wegen Baufälligkeit schließen und abreißen müsste. Dass Sicherheitslücken wie die oben Rampage-Schwachstelle noch nicht im großen Stil ausgenutzt werden, liegt schlicht an einer Ursache begründet. Aktuell ist es einfacher, eine mit einem Trojaner versehene App auf die Geräte zu schmuggeln, um gezielt Daten wie für das Online-Banking abzugreifen.
Vor einigen Tagen habe ich den Artikel Google Pay – Sparkasse: 'keine Option'; Banken zurückhaltend publiziert. In Foren 'tobte die Anwenderschaft', weil die Sparkassen und Banken so schnachnasig sind und nicht sofort da drauf hüpfen. Wer sich aber mit Mobilgeräten und Sicherheit beschäftigt, kann sich nur an den Kopf fassen. Früher galt der Spruch 'da hat jemand den Verstand mit dem Hut an der Garderobe abgegeben'. Heute setzt das Denken am Smartphone aus. Aktuell kann man Android-Geräte eigentlich nur verwenden, wenn maximal einige ausgesuchte Apps vertrauenswürdiger Entwickler installiert sind. Wer Banking-Apps auf solchen Geräten einsetzt, muss mit dem Klammerbeutel gepudert sein. Oder wie seht ihr das so?
Ähnliche Artikel:
Drammer-Exploit nutzt Rowhammer-Lücke für Android-Root
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Google Pay – Sparkasse: 'keine Option'; Banken zurückhaltend
Banking-Trojaner in Google Play Store-Apps
Vorsicht vor App-TANs beim Online-Banking
Fake Krypto-Geld-Wallet-Apps in Google Play gefunden
App-Armaggedon: Sicherheit und Datenschutz miserabel
Phishing- und Banking-Trojaner bedroht Bankkunden
Anzeige
Jein, wenn man für die TANs ein separates Gerät (z.B. ein altes Mobiltelephon ohne Internet) nutzt ist das schlimmste was passieren kann, daß der Angreifer den Kontostand etc. lesen kann. Nicht schön aber auch nicht so attraktiv daß sich solche Angriffe lohnen.
Bei den von manchen Banken propagierten Verfahren mit TAN über eine App AUF DEM SELBEN GERÄT sieht das ganz anders aus. Wie man auf so eine Idee kommen kann verstehe ich wirklich nicht.
Bin nicht ganz sicher – aber die Theorie mit mTAN auf einem Zweitgerät ist wackelig. Stichwort sind Schwachstellen in den 2G/3G/4G-Protokollen. Es gab mal einen Fall, habe ihn im Blog gehabt, wo Kriminelle über diverse Sicherheitslücken den Versand umgebogen haben.
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Zeigt, dass die ganzen Ansätze mehr als wackelig sind. Was ginge, wäre ein Tablet oder Phablet und ein ChipTAN-Generator als Authentifzierungsmethode. Das ist das, was ich z.B. nutze. Zielkonto und Betrag sind über die TAN abgesichert (wenn man diese Angaben, die im Flickercode auf den ChipTAN-Generator übertragen und dort angezeigt werden, kontrolliert). Eine Manipulation der Überweisung im Browser (z.B. anderes Zielkonto) fällt so so auf und eine Manipulation des Zielkontos und/oder des Betrags beim Absenden der TAN führt dazu, dass diese nicht mehr zu den Zieldaten passt – die Transaktion also als ungültig verworfen wird. Ich hatte drüben im 50Plus-Blog was zu diesem Thema in diesem Artikel veröffentlicht.
Aber mit der Methode ist der Komfort wieder weg, den die Leute vermeintlich haben möchten.
Kein Banking, weder mit App noch als Online-Browser-Variante, via Smartphone.
Vaddern hatte schon die App drauf, nach gehörigem Ins-Gewissen-reden hat er sie wieder deinstalliert plus Zurücksetzen in Werkszustand plus erneutes Einrichten des Gerätes.
Für Bankgeschäfte gehe ich in die Bank zum SB Terminal oder zum Schalter.
Mit der Rowhammer Methode RAM Inhalt manipulieren klappt nicht immer. Habe das mal in einen übernachtest mit 2 PCs durch getestet.
Das eine ist mein alter Intel Pentium 4 mit 2,5GB DDR1 400MHz RAM. Der andere ist mein AMD Ryzen Rechner mit 32GB Samsung B-Die RAM (2x 16GB DDR4 @3066MHz)
Beide haben den HCI Memtest Rowhammer test ohne Auffälligkeiten bewältigt.
Es hängt halt stark vom verwendeten RAM der Taktstufe und der Betriebsspannung ab ob Rowhammer überhaupt funktioniert.
Gehen sie noch auf die Straße, womöglich in die Stadt und haben eine Geldbörse dabei? Schlimmer Fehler! Es wird mehr Geld durch Taschendiebe gestohlen, als durch Hacker.
Aber die Leute glauben ja auch Fliegen wäre gefährlich und setzten sich bedenkenlos ins Auto.
Den Banken und Sparkassen kann man eigentlich nur vorwerfen, das sie selbst in den letzten Jahren nix gebacken bekommen. Das wäre ja auch Service und der kostet halt erst mal richtig Geld.
Das die dann eben von Diensten wie schon lange PayPal und vielleicht auch jetzt Google an die Wand gedrückt werden und höchstens noch mitverdienen dürfen ist doch kein Wunder. Vermutlich sogar gewünscht, weil die externen Anbieter haben ja die Arbeit, wahrend die Banken und Sprkassen noch was genau tun?
In einigen Gebeten ist es ja sogar schon schwer geworden überhaupt noch einen Bankautomaten zu finden.
Der naheliegende Ansatz, das jeder sein Handy dabei hat und es online gehen kann (nur nicht bei jedem Vertrag) ist also nicht ganz so doof gedacht. Finde ich.
Blöd ist eher langsam, das man von der Masse der Bezahlmöglichkeiten erschlagen wird und am Ende doch immer die fehlt, die mn selbst nutzt.
Das klassische gefummel mit den blöden Karten, die dann womöglich nicht mal angenommen werden, Geräte streiken und Co ist ja nun auch nicht immer goldig.
Jedes Zahlungsmittel hat seine Nachteile. Es gibt einfach keine Sicherheit vor allem und jedem. Alles doof.