{"id":252003,"date":"2021-04-08T20:29:50","date_gmt":"2021-04-08T18:29:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252003"},"modified":"2021-04-13T18:07:58","modified_gmt":"2021-04-13T16:07:58","slug":"malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021\/","title":{"rendered":"Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1"},"content":{"rendered":"

[English<\/a>]Von der Firma Gigaset wurde zum 8. April 2021 eine Information L\u00f6sung Malware-Angriff Smartphones<\/a> zum Malware-Befall diverser Android-Ger\u00e4te (seit dem 1. April 2021) herausgegeben. Dort findet sich auch eine Anleitung, wie Betroffene ihre Ger\u00e4te vom Malwarebefall s\u00e4ubern k\u00f6nnen sollen. In nachfolgendem Text bereite ich die Informationen von Gigaset auf und erg\u00e4nze diese um eigene Erkenntnisse, angereichert um die vielen hier offen gebliebenen Fragen. Danach sollte jeder Besitzer von Gigaset-Ger\u00e4ten entscheiden, wie vorzugehen ist.<\/p>\n

<\/p>\n

Malware-Befall auf Gigaset Android-Ger\u00e4ten<\/h2>\n

\"\"Im Blog-Beitrag L\u00f6sung Malware-Angriff Smartphones<\/a> schreibt der Hersteller, dass bei einigen \u00e4lteren Smartphones Probleme mit Schadsoftware aufgetreten sind, was bei routinem\u00e4\u00dfigen Kontrollanalysen aufgefallen sei. Ausweislich der Aussagen des Herstellers wurde die \"Infizierung von Smartphones am 7. April 2021 abgestellt\". Die ersten Infektionen habe ich im Artikel Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> mit 1. April 2021 nachweisen k\u00f6nnen.<\/p>\n

Welche Modelle sind nicht betroffen?<\/h3>\n

Gem\u00e4\u00df Aussage von Gigaset sind die Smartphone-Modelle der Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4 von diesem Malware-Befall nicht betroffen.<\/p>\n

Hier ist aber die Frage offen, was mit dem Gigaset GS280 ist. Ich verweise auf den Kommentar<\/a> von Bolko, der schreibt: Au\u00dferdem fehlt in der Liste der betroffenen Ger\u00e4te mindestens das GS280 oder sollen die 51 Dateien mit jeweils 19,93 MB. normal sein?<\/em><\/p>\n

Diese Modelle sind potentiell betroffen<\/h3>\n

Laut Gigaset sind potentiell ausschlie\u00dflich \u00e4ltere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) betroffen. Ich interpretiere dies so, dass dies am verwendeten Update-Server festgemacht wird – von denen einer nach Aussage von Gigaset durch einen Lieferkettenangriff (Supply-Chain-Attack) betroffen war und \u00fcber einen in der Firmware vorhandenen Auto-Updater Malware auslieferte.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen wird es f\u00fcr mich etwas klarer – es sieht so aus, als ob historisch zwei Update Provider (#1 Redstone, #2 Adups) von Gigaset zur Aktualisierung verwendet wurden\/werden. Bei \u00e4lteren Ger\u00e4ten ist ein System-Updater von Redstone in der Firmware in Verwendung und von denen wurde mutma\u00dflich ein Server kompromittiert. Die System-Updates kommen von Gigaset Deutschland und Polen, werden aber \u00fcber die Update-Server in China (die als Provider fungieren) ausgef\u00fchrt. Was mir unklar ist: Wieso k\u00f6nnen Dritte da so einfach Pakete auf einen Update-Server bereitstellen und das f\u00e4llt nicht auf? Wird nicht digital signiert, oder ist ein privater Schl\u00fcssel zum Signieren abhanden gekommen?<\/p><\/blockquote>\n

Nicht alle Ger\u00e4te betroffen, Update fehlte?<\/h3>\n

Die R\u00fcckmeldungen der Leserschaft und meine Erfahrungen mit eigenen Ger\u00e4ten zeigen, dass nicht alle Exemplare der oben genannten Modelle infiziert wurden. Gigaset schreibt dazu:<\/p>\n

Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Ger\u00e4te, bei denen die in der Vergangenheit seitens Gigaset zur Verf\u00fcgung gestellten Software-Updates nutzerseitig nicht ausgef\u00fchrt wurden, infiziert. Auf diese Ger\u00e4te wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.<\/p><\/blockquote>\n

Leider bleibt der Hersteller bedeckt, was die Details der \"zur Verf\u00fcgung gestellten Software-Updates\" betrifft. Im Blog-Beitrag Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a> hatte ich darauf hingewiesen, dass Sicherheitsforscher den in der Firmware der Gigaset-Android-Smartphones installierten Auto-Installer com.redstone.ota.ui <\/em>auch als Android\/PUP.Riskware.Autoins.Redstone <\/em>bezeichnen. Das w\u00e4re der System-Updater des Providers Restone. Hier w\u00e4re gut gewesen, zu wissen, welche Komponente (com.redstone.ota.ui <\/em>oder update.apk <\/em>etc.) h\u00e4tte installiert werden m\u00fcssen. Blog-Leser Bolko wirft in diesem Kommentar<\/a> die gleichen Fragen auf, die mir so durch den Kopf gehen.<\/p>\n

Das ein nicht installiertes Software-Update fehlte und die Infektion dadurch erm\u00f6glicht wurde, kann ich nicht ausschlie\u00dfen. Aber die Aussage des Herstellers m\u00f6chte ich nicht unkommentiert stehen lassen. Die Aussage lie\u00dfe sich so interpretieren, als ob der Benutzer da ein Update verweigert hat (vorsichtig ausgedr\u00fcckt). Dem wird in diesem Kommentar<\/a> (und in R\u00fcckmeldungen, die ich von anderen Nutzern erhalten habe) vehement widersprochen. Es k\u00f6nnte auch schlicht so sein, dass die Update-Ans\u00e4tze des Herstellers nicht funktionieren und Leute diese Aktualisierungen nie bekommen haben. Ich verweise mal auf diesen Kommentar<\/a> von Blog-Leser Niklas, der das Problem an der Aussage des Herstellers aufzeigt:<\/p>\n

Wir haben ca. 110 Gigaset GS370 Plus im Einsatz. Alle \u00fcber ein mdm gesteuert. Dort sind alle M\u00f6glichkeiten zur App Installation fernab der von mir freigegeben Apps blockiert.<\/p>\n

Sprich:<\/p>\n

Kein apk sideload
\nKein Playstore
\nKeine Installation \u00fcber irgendeinen Weg.<\/p>\n

Einzig der Update Mechanismus der Firmware ist weiterhin offen gewesen.<\/p><\/blockquote>\n

Sollte das (Sicherheits-)Update von Gigaset als App per Google Play Store oder APK-Side-Load und nicht als Firmware-Aktualisierung vorgesehen worden sein, w\u00e4ren die Gigaset-Ger\u00e4te nicht f\u00fcr eine Verwaltung per Mobile Device Management (MDM) geeignet. Hier bleibt die Frage offen, ob Fehler der Benutzer oder ein Versagen des Update-Mechanismus zu den jetzigen Problemen f\u00fchrten. Feststellbar ist jedenfalls, dass der Restone-System-Updater durch die jetzt angelaufenen System-Updates entfernt wird.<\/p>\n

Problem Update-Server von Drittanbietern<\/h2>\n

An dieser Stelle weise ich auf ein Problem hin, welches in der gesamten Angelegenheit nonchalant als \"Update-Server eines Providers\" umschrieben wird. Ausweislich der Kommentare zu diesem Gigaset-Blog-Posts<\/a> verwenden die Modelle GS3 und GS4 die Update-Server der ADUPS Ltd. benutzen. Die in Shanghai beheimatete chinesische Firma bietet zwar Update-Services f\u00fcr eine Milliarde Ger\u00e4te an. Kann man so tun, aber man sollte die Auswahl auch aus Zuverl\u00e4ssigkeitsgesichtspunkten vornehmen. Und da deuten sich nach meinem bisherigen Wissen Probleme an.<\/p>\n

Der Anbieter ADUPS LTD. genie\u00dft seit Jahren einen Ruf, der alles andere als \"wei\u00dfe Weste\" darstellt. Ich verweise auf den heise-Beitrag Adups: Android-Riskware mit D\u00e9j\u00e0-vu-Effekt<\/a>, der kein wirklich gutes Gef\u00fchl zur\u00fcck l\u00e4sst, wenn dies der Provider ist, der Gigaset Ger\u00e4te-Updates verwaltet. Da es 2019 einen Malware-Befall bei Gigaset-Ger\u00e4ten gegeben hat (siehe folgende Anmerkung), an dem mutma\u00dflich der vorherige Provider Redstone involviert war, und deren Update-Server mutma\u00dflich jetzt wieder in einem Lieferkettenangriff kompromittiert wurden und die Schadsoftware auslieferten, wirft auch das kein gutes Bild auf die Angelegenheit.<\/p>\n

Anmerkung: <\/strong>Was auch, zumindest bei mir, Fragezeichen auf der Stirn hervorruft: Es ist ja nicht der erste Vorfall bei Gigaset-Ger\u00e4ten, die durch per Update-Server ausgerollte Malware infiziert wurden (siehe diesen Artikel<\/a> aus 2019). Zudem verweise ich auf diesem Kommentar<\/a> hier im Blog, der angibt, dass Gigaset-Modelle im t\u00fcrkisch-sprachigen Raum als Kaan N Serie vermarket werden. Dort hat es im August 2020 einen Malware-Befall gegeben – dummerweise ist mein T\u00fcrkisch sauschlecht, so dass ich die Details noch nicht evaluieren konnte.<\/p><\/blockquote>\n

Malwarebefall soll automatisch korrigiert werden<\/h2>\n

In einem Vorgespr\u00e4ch per Telefon vor einigen Tagen gab es von Gigaset die Aussage, dass man die Infektion des Update-Servers gestoppt habe, es werde keine neue Malware mehr ausgeliefert und man habe in Zusammenarbeit mit dem Provider sogar eine L\u00f6sung bereitstellt, dass sich betroffene Ger\u00e4te automatisch bereinigen. Das liest sich in der Mitteilung von Gigaset<\/a> so:<\/p>\n

Gigaset hat umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser hat unmittelbare Ma\u00dfnahmen ergriffen und Gigaset gegen\u00fcber best\u00e4tigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.<\/p>\n

Es wurden Ma\u00dfnahmen getroffen, um infizierte Ger\u00e4te automatisch von der Schadsoftware zu befreien.<\/strong><\/p>\n

Dazu m\u00fcssen die Ger\u00e4te mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Ger\u00e4te an das Ladeger\u00e4t anzuschlie\u00dfen. Betroffene Ger\u00e4te sollten binnen 8 Stunden automatisch von der Schadsoftware befreit sein.<\/p><\/blockquote>\n

An dieser Stelle gibt es zumindest Zweifel, dass dies bei allen Benutzern funktioniert (ob es bei niemandem funktioniert, kann ich nicht beantworten). Der Kommentar hier<\/a> best\u00e4tigt zwar, dass sch\u00e4dliche Apps weg seien – aber die Browser-Umleitungen in Google Chrome erfolgen weiterhin. Zudem verweise ich an dieser Stelle diesen Kommentar<\/a> vom 8. April 2021, der zu meinem Artikel bei heise eingegangen ist. Alleine der Aufruf des Google Play Store reichte, um die nachfolgende Meldung angezeigt zu bekommen.<\/p>\n

\"Play<\/p>\n

Wenn also die sch\u00e4dliche App com.yhn4621.ujm0317<\/em> am 8. April 2021 weiterhin auf dem Ger\u00e4t gefunden und gemeldet wird, kann es (zumindest auf diesem Ger\u00e4t) mit der Immunisierung nicht geklappt haben. Erg\u00e4nzung: <\/strong>\u00dcber Nacht sind zum Morgen des 9. April erste R\u00fcckmeldungen eingetroffen, dass die Ger\u00e4te bereinigt seien und kein sch\u00e4dliches Verhalten mehr zeige. Es gibt also durchaus Ger\u00e4tebesitzer, wo das Auto-Update geholfen hat.<\/p>\n

Es l\u00e4sst sich also festhalten: Mit der automatischen Immunisierung der Ger\u00e4te klappt es nicht immer zuverl\u00e4ssig, wie von Gigaset angegeben. Zudem habe ich deutliche Bauchschmerzen, ein kompromittiertes Ger\u00e4t, das Daten (z.B. \u00fcber WhatsApp) versendet, und dessen Stillegung ich empfohlen hatte\u00a0 (Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>) wieder ans Netz gelassen wird. Was man aktuell als Betroffener machen kann, wenn man sich auf das Auto-Update einlassen m\u00f6chte:<\/p>\n