Kreativ spionasje via mobilapper

De siste ukene har sikkerhetsforskere gått ut med informasjon om i alle fall tre ulike metoder som kan utnyttes i angrep mot brukere av smartmobiler og nettbrett. Android-plattformen eller apper til denne er berørt i alle tilfellene, men også andre plattformer – ikke bare til mobile enheter – kan i noen av tilfellene også være berørt.

Forskere ved University of Michigan og Riverside-universitetet i California har oppdaget at det i Android, men sannsynligvis også operativsystemer som iOS, OS X og Windows, er mulig for ondsinnede apper å smugkikke på andre apper ved hjelp av tilstandene i brukergrensesnittet (UI). Forskerne kaller angrepstypen for «UI state inference attack». Det som gjør angrepene mulig, er at populære rammeverk for grafiske brukergrensesnitt (GUI) potensielt kan avsløre alle endringer i UI-tilstanden gjennom det som omtales som en uventet, nyoppdaget og offentlig sidekanal til det delte minnet.

– Selv om UI-tilstanden ikke avslører de nøyaktige pikslene, demonstrerer vi at dette kan utgjøre en kraftig byggestein for å åpne for mer alvorlige angrep, heter det i rapporten fra forskerne.

Endringer i UI-tilstanden kalles for Activities i Android-terminologien. Forskerne har vært i stand til å overvåke slike endringer i det delte minne og å finne samsvar mellom endringene og det de kaller for en «activity transition event», som for eksempel kan være at en bruker logger seg inn via Gmail-appen eller at en bruker tar et bilde av en sjekk med en bankapplikasjon.

Utvidet med noen få, andre sidekanaler, kan artikkelforfatterne vise at det er mulig, med temmelig høy nøyaktighet, å spore i sanntid hvilken Activity mål-applikasjon er i, heter det i en artikkel i internpublikasjonen URC Today ved UC Riverside.

For at angrepet skal lykkes, må det skje nøyaktig på det tidspunktet hvor brukeren gjør den handlingen som man ønsker at skal fanges inn. Dessuten må angrepsappen kjøres i bakgrunnen, uten at den vekker mistanke, verken under kjøring eller selve angrepet.

Sannsynligheten for at et angrep lykkes, ser ut til å henge sammen med hvor mange Activities som er mulig å gå over til fra ande Activities. Blant de appene som forskerne testet med, ga Amazons app laves suksessrate (48 prosent) fordi appen tillater at én Activity kan gå over i nesten en hvilken som helst annen Activity. Dette gjør at det er vanskelig å gjette hvilken Activity appen for øyeblikket er i.

I motsatt ende var Gmail-appen, som hvor suksessraten for angrepene var på 92 prosent.

Videoen nedenfor viser derimot en demonstrasjon av hvordan et angrep på NewEgg-appen foregår. Flere demonstrasjonsvideoer finnes på denne siden.

I forskningsartikkelen presenteres det forslag til hvordan den aktuelle sidekanalen kan elimineres. I en kommentar til BBC News sier en talskvinne for Google at tredjepartsforskning som dette er blant det som bidrar til å gjøre Android sterkere og sikrere.

Forskerne presenterte sine oppdagelser under USENIX Security ’14-konferansen som ble arrangert i San Diego i midten av forrige uke.

Avlytting via gyroskopet
Også den neste angrepsmetoden ble presentert under denne konferansen, men ble omtalt av Wired noe tidligere i august.

Så godt som alle moderne smartmobiler er utstyrt med et gyroskop for å måle enhetens orientering og endringer i denne. Men forskere ved Stanford University i USA og Rafael Advanced Defense Systems i Israel har utviklet en Android-applikasjon, Gyrophone, som kan bruke gyroskopet i smartmobiler til å fange opp samtaler i omgivelsene. Siden bruk av gyroskopet ikke krever noen spesielle tillatelser av de vanligste smartmobil-systemene, kan dette i teorien gjøres at brukeren får mistanker om uvanlig aktivitet.

– Når du gir noen tilgang til sensorer i en enhet, vil du få utilsiktede konsenser, sier Dan Boneh, informatikkprofessor ved Stanford og en av forfatterne av forskningsartikkelen, til Wired.

– I dette tilfellet er de utilsiktede konsekvensene at de kan fange opp ikke bare telefonens vibrasjoner, men også vibrasjoner i luften.

På Android-enheter tillates applikasjoner å lese av gyroskopet med en samplingfrekvens for gyroskopet på 200 Hz. Stemmene til voksne personer ligger vanligvis i området 85 til 255 Hz, avhengig av blant annet kjønn. Det betyr at gyroskopet kan fange opp en ikke ubetydelig del av disse stemmene. Selv om resultatet ikke vil være gjenkjennelig for et menneskeøre, har Gyrophone-appen talegjenkjenningsfunksjonalitet som er designet for å tolke nettopp dette.

På enheter med iOS er det vanskeligere å utnytte gyroskopet til å avlytte samtaler fordi samplingraten er begrenset til 100 Hz. De fleste nettlesere til begge plattformer lar webapplikasjoner bare lese av gyroskopet mellom 20 og 25 ganger i sekundet. Men Firefox for Android har ikke en slik begrensning, noe som gjør at webapplikasjoner som åpnes i denne nettleseren kan lese av med full samplingrate, altså 200 ganger i sekundet.

Til Wired sier Boneh at teknikken forskerne har utvidet på ingen måte er perfekt, og at den bare kan gjenkjenne et ord her og der. Men han understreker at forskergruppen er eksperter innen sikkerhet, ikke talegjenkjenning. De har derfor ikke som mål å perfeksjonere teknikken eller appen. Målet har derimot vært å fortelle om hvilke muligheter gyroskoper kan ha som spionteknologi.

– Det er ingen grunn til at dataspill skal ha behov for å lese av gyroskopet 200 ganger i sekundet, sier Boneh til Wired.

Problemet i Android er altså enkelt å løse fra Googles side, ved å begrense hvor hyppig applikasjoner får avlese gyroskopet til for eksempel 100 Hz, tilsvarende iOS. Om oppdateringen vil nå ut til selve enhetene, avhenger derimot av leverandøren av den enkelte enhet.

Apper og nettverkssikkerhet
Den tredje rapporten vi har valgt å ta med i denne artikkel stammer fra IT-sikkerhetsselskapet FireEye. Selskapet har studert hvordan et stort utvalg av de mest populære appene til Android tar i bruk sikkerhetsteknologiene SSL/TLS i forbindelse med overføring av data via Internett. Feil bruk av slike teknologier gjør av kommunikasjonen mellom applikasjonene og servere kan være sårbare for Man-in-the-Middle-angrep (MITM), altså avlytting.

I analyse har FireEye sett etter om appene bruker en «trust manager» som faktisk sjekker sertifikatene fra serverne, om vertsnavnet til serveren stemmer overens med vertsnavnet som er oppgitt i sertifikatet, og om applikasjonene ignorerer SSL-feil dersom de bruker WebKit å gjengi serverbaserte websider i mobilapplikasjonene.

Blant de tusen mest nedlastede gratisapplikasjonene til Android per den 17. juli i år, sviktet 674 i minst én av deltestene. Blant annet observerte FireEye at 448 av 614 apper som bruker SSL/TLS til kommunikasjon med en server, bruker en «trust manager» som ikke sjekker sertifikatene. I en større undersøkelse med 10 000 vilkårlige gratisapplikasjoner fra Google Play, viste det seg at denne andelen lå på omtrent 40 prosent.

De to andre manglene viste seg å være mindre utbredt, selv så mange som 219 av 285 av applikasjonene som bruker WebKit eller Chrome til å vise sikre websider, ignorerer SSL-feil.

FireEye nevner spesifikt at annonsebibliotektet Flurry, som benyttes av svært mange applikasjoner, har vært blant synderne på dette området. Dette skal dog har blitt rettet i versjon av 3.4 av biblioteket, men etter alt å dømme må enhver applikasjon som benytter Flurry oppdateres for at sårbarheten skal fjernes fra den enkelte applikasjon. Ifølge FireEye har de berørte Android-applikasjonene blitt lastet til sammen minst 8,7 milliarder ganger, men Flurry benyttes også av applikasjoner til iOS. FireEyes undersøkelse har bare tatt for seg Android-applikasjoner, så det er uklart om de samme problemene gjelder iOS-utgaven av Flurry.

En enkeltapplikasjon som nevnes spesielt er Camera360 Ultimate. Denne har blitt lastet ned av minst 50 millioner Android-brukere og enda flere iOS-brukere. Det er uklart om iOS-utgaven har vært berørt, men problemene skal i alle fall ha blitt rettet i Android-utgaven.

Verre er det med en applikasjon som har blitt lastet ned fra Google Play mer enn 100 millioner ganger. Applikasjons hovedfunksjon skal være å sende interessante bilder til andre brukere. I likhet med Camera360 sjekker ikke denne applikasjonen serversertifikatene ved opprettelse av SSL-forbindelser. Årsaken til at FireEye ikke har navngitt applikasjonen, er at utgiveren har unnlatt å svare på flere henvendelser fra selskapet og at problemene ikke skal være rettet.

I rapporten nevnes ikke andre plattformer enn Android med et eneste ord. Det er derfor uklart om svak SSL/TLS-sikkerhet er mer utbredt blant Android-applikasjoner enn blant applikasjoner til andre mobile plattformer.

Leave a Reply

Your email address will not be published.