Upload
votram
View
217
Download
2
Embed Size (px)
Citation preview
Malware auf mobilen Geräten: Alter Wein in neuen Schläuchen?
Felix FreilingFelix Freiling
IT-Sicherheit am Donaustrand, Regensburg, 7.7.2010
Mobiltelefone
● Wer besitzt eines der gezeigten Modelle?● Wer besitzt eines der gezeigten Modelle?
● Wer besitzt mehr als ein Mobiltelefon?
● Wer besitzt ein Mobiltelefon, das älter als ein Jahr ist?
● Wer trägt sein Mobiltelefon auch im Urlaub bei sich?
6/36
bei sich?
Schadsoftware
● Allgemeiner Begriff: Schadcode– Ausführbarer Programmcode, der schädliche Funktionen
enthält– Meist in Form von Schadprogrammen (Schadsoftware,
Malware)– Potentially Unwanted Programs (PUPs)
● Beispiele im PC-Bereich: Viren, Würmer, Trojaner– PCs infizieren, um PC-Ressourcen zu missbrauchen
7/36
– PCs infizieren, um PC-Ressourcen zu missbrauchen
● Treibende Kraft: kriminelle Industrie, die daran Geld verdient
– Diebstahl von Daten, SPAM, Erpressung (Denial-of-Service)
Spezifika im Vergleich zu PCs
● Direkte Erzeugung von Kosten– Teure „Premium“-Telefonnummern werden auf
absehbare Zeit bleiben
● Existenz eines Netzwerkbetreibers– Kontrolle des Netzes an zentralen Punkten möglich– Begrenzte Kontrolle der Mobiltelefone durch Betreiber
(Firmware-Update, SIM-Karte)
● Begrenzte Ressourcen des mobilen Gerätes
13/36
● Begrenzte Ressourcen des mobilen Gerätes– Batterie, zum Teil auch Speicherplatz und Rechenzeit– Relativ hohe Diversität der Technologien
● Unerfahrene Benutzer
Historisch relevante Beispiele
● Cabhir (2004)● Cabhir (2004)
● Skulls (2004)
● BlankFont (2005)
● CommWarrior (2006)
15/36
Cabhir (2004)● Befällt SymbianOS
● Übertragungsweg: infizierte Installations-Datei über Bluetooth
● Schadfunktion: keine, bis auf Batterieverbrauch durch dauernde Verbreitungsversuche/Senden über BluetoothVerbreitungsversuche/Senden über Bluetooth
16/36
Skulls (2004)
● Befällt SymbianOS● Befällt SymbianOS
● Übertragungsweg: infizierte Installationsdatei
● Schadfunktion: überschreibt Dateien und Logos, macht System unbenutzbar
18/36
System unbenutzbar
CommWarrior (2006)
● Befällt SymbianOSBefällt SymbianOS
● Übertragungsweg: infizierte Installationsdatei
● Erster Schadcode, der neben Bluetooth auch über MMS
20/36
auch über MMSverschickt wurde– Globale Verbreitung
Erstes Fazit
● Die meiste mobile Malware gibt es (noch) für ● Die meiste mobile Malware gibt es (noch) für SymbianOS (also Telefone von Nokia)
● Die meiste mobile Malware verbreitet sich auf Basis von Benutzerinteraktion
– Diversität der Plattformen von Vorteil
– Gefahr durch „homogene“ Frameworks wie .NET
22/36
– Gefahr durch „homogene“ Frameworks wie .NET oder J2ME (Java)
MMS-Titel bei CommWarrior
● Matrix has you. Remove matrix!
3DGame from me. It is FREE ! ● 3DGame from me. It is FREE !
● MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
● Nokia ringtoner
● Security update #12
● Live3D driver with polyphonic virtual speakers!
● OS service pack #1 from Symbian inc.
● Happy Birthday! It is present for you!
23/36
● Free *SEX* software for you!
● Porno images
● Internet Cracker
● Norton AntiVirus
Verhaltensregeln
● Altbekannt:● Altbekannt:
– Auf Vertrauenswürdigkeit der Quellen achten
– Nicht alles einfach so installieren
– Insbesondere gefährdete Benutzer: Antivirenprodukte verwenden
Speziell für Mobiltelefone:
25/36
● Speziell für Mobiltelefone:
– Bluetooth ausschalten, wenn es nicht benötigt wird
– Regelmäßig Telefonrechnung kontrollieren
Mobiltelefone und Straftaten
● Mobiltelefone sind wertvolle Quelle digitaler ● Mobiltelefone sind wertvolle Quelle digitaler Beweismittel
– Kommunikationsbeziehungen (Ruflisten), Kommunikationsinhalte (SMS)
– Große Speichermengen vorhanden (Text, Daten, Bilder)
27/36
● Zugriff (klassisch) über TwisterBox
– Neue Modelle einfacher über manipulierte Bootloader auslesbar
Experiment
● Vorlesung “Forensische Informatik” Sommer 2009
● 10 gebrauchte Mobiltelefone im Internet ersteigert(meist Nokia, ohne SIM-Karten), Kosten 130 €
– 7 Telefone durch Studierende analysiert
● Telefone enthalten teilweise Standarddateisysteme, aber fast immer proprietäre Dateiformate
– Viel händische Analysearbeit, Reverse Engineering
29/36
– Viel händische Analysearbeit, Reverse Engineering
● Kommerzielle Tools verfügbar
– Demo Version des “Cell Phone Analyzer” (verschleiertteilweise die echten Daten durch Punkte)
Nokia 3510i
● Wiederhergestellt wurden:● Wiederhergestellt wurden:
– Kontaktlisten
– gewählte Rufnummern
– eingehende Rufnummern
– gesendete SMS
30/36
– empfangene SMS
● Keine Fotos (3510i hat keine Kamera)
Wear Levelling
● Flash-Speicher kann nur endlich oft beschrieben werdenbeschrieben werden
– Mobiltelefone versuchen, den vorhandenen Speicher möglichst „gleichmäßig“ zu beschreiben
● Beispiel: YAFFS im neuen Google-Phone
Besonders interessant für Forensiker
31/36
● Besonders interessant für Forensiker
Zusammenfassung
● Mobile Malware ist eine reale Bedrohung● Mobile Malware ist eine reale Bedrohung
● Stärkere kriminelle Aktivität im Mobiltelefonbereich zu erwarten
● Benutzer als wesentliche Schwachstelle
● Besonderheiten der Mobiltelefone sind interessant für Forensiker
33/36
interessant für Forensiker
● BMBF-Projekt zu mobiler Malware● BMBF-Projekt zu mobiler Malware
● Start voraussichtlich Herbst 2010
● Beteiligt:
– Universität Mannheim
– Ruhr-Universität Bochum
34/36
– Zynamics GmbH, Bochum
– G-Data GmbH, Bochum
Quellen
● Ken Dunham (Hrsg.): Mobile ● Ken Dunham (Hrsg.): Mobile Malware Attacks and Defense. Syngress, 2009.
● Michael Becher: Security of Smartphones at the Dawn of their Ubiquitousness. Dissertation, Universität Mannheim, 2009.
35/36
Dissertation, Universität Mannheim, 2009.
● Michael Spreitzenbarth: Mobile Phone Forensics. Diplomarbeit, Universität Mannheim, 2009.