In meinem zweiten Blogeintrag möchte ich einen weiteren Einblick in meine Arbeit als Werksstudent bei KPMG geben. Smartphones, Tablets und das damit verbundene BYOD ist zunehmend ein heiß diskutiertes Thema in verschiedenen Unternehmen, so auch bei unseren Mandanten.
Ein Mandant bat um einen umfassenden Einblick in das Thema Mobile Security und die Gefahren, welche im Zuge der Nutzung mobiler Endgeräte entstehen. Gemäß einem der Slogans von KPMG – „Weil wir mehr liefern als von uns erwartet wird “ – verstehen wir unter diesem Auftrag allerdings nicht nur eine ansprechende Präsentation des aktuell vorhandenen Bücherwissens, sondern viel mehr eine auf den Mandanten zugeschnittene Beratung zum Thema sowie gezielte Awareness-Maßnahmen.
Unser Ziel war es aufzuzeigen wie Schwachstellen in aktuellen Smartphone-Betriebssystemen ausgenutzt werden können. Daher entschieden wir uns für ein Szenario in dem einem Opfer vertrauliche Daten gestohlen werden sollten. In Googles Android-Betriebssystem fand ich schließlich eine Schwachstelle die einen Drive-By-Download ermöglichte, welche somit ideal für dieses Szenario geeignet war. Ich nutzte diese Schwachstelle gezielt aus, um alle gespeicherten SMS-Nachrichten von einem Mobiltelefon zu stehlen. Zur Demonstration des Angriffs verwendete ich zum einen den Android-Emulator und die auf IT-Security spezialisierte Linux-Distribution Kali. (Mit den Kenntnissen aus dem Android Lab am IBR war der Emulator schnell aufgesetzt und für das Szenario passend konfiguriert.)
Als Ergebnis stand ein aussagekräftiges Video, in dem gezeigt wird wie alle gespeicherten SMS-Nachrichten eines Opfers durch einfachen Klick auf einen Link in einer Phishing-Nachricht auf dem Webserver des Angreifers landen. In einem weiteren Angriffsszenario haben wir gezeigt, welche Risiken auch durch unverschlüsselt gespeicherte Daten von verschiedenen Apps auf dem Smartphone selbst entstehen. So haben wir beispielsweise auf die internen Datenbanken eines iPhones zugegriffen, um so vertrauliche Daten im Klartext anzeigen zu können. Abschließend wurden mögliche Maßnahmen für mobile Security bewertet und analysiert, um dem Mandanten Gegenmaßnahmen aufzeigen zu können.
Michael Bier