Automated Android Exploitation – A Practical Implementation

Master Studiengang Information Security

Dipl.-Ing. Christoph Rottermanner, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Durch die tägliche Nutzung des Smartphones fallen viele private Daten wie z. B. Fotos, Videos und Nachrichten an, welche ein interessantes Ziel für Datendiebstahl durch Ausnutzen von Schwachstellen sind. Besonders Smartphones mit dem Betriebssystem Android sind betroffen, da sie oftmals keine oder nur für einen kurzen Zeitraum Updates erhalten, um kritische Sicherheitslücken zu schließen.

Ziel

In der vorliegenden Diplomarbeit werden realisierbare Angriffsszenarien, um bekannte Schwachstellen im Betriebssystem Android automatisiert ausnutzen zu können, evaluiert. Zudem wird beschrieben, welche HerstellerInnen besonders betroffen sind, da diese nur unregelmäßig bzw. keine Sicherheitsupdates für deren Smartphones zur Verfügung stellen. Im Rahmen der Diplomarbeit wurde ein Framework implementiert, um Android-Geräte anzugreifen. Dieses soll demonstrieren, wie einfach veraltete Android-Versionen angegriffen werden können und dadurch auch Zugriff auf sensible Daten der NutzerInnen möglich ist.

Ergebnis

Anhand der Resultate der Evaluierung konnte festgestellt werden, dass Google regelmäßige Sicherheitsupdates auch noch für ältere Geräte, welchen von ihnen selbst vertrieben werden, zur Verfügung stellt. Im Zuge der Evaluierung war es daher nicht möglich, eine öffentlich bekannte Schwachstelle auf einem Google-Gerät auszunutzen. Weiters konnte ermittelt werden, dass jahrelang bekannte Schwachstellen noch immer genutzt werden können, um unautorisierten Zugriff auf veraltete Android-Geräte zu erlangen. Insbesondere eine Schwachstelle, bekannt unter dem Namen Stagefright, ist noch immer sehr stark verbreitet. Jedoch sind nur für eine geringe Anzahl von Android-Geräten sogenannte Exploits verfügbar, um diese Schwachstelle ausnutzen zu können und daraus resultierend Zugriff auf das anfällige Smartphone zu erhalten. Bedingt durch diese Beschränkung war es nicht möglich, die Schwachstelle auf einem der Testgeräte auszunutzen. Im Gegensatz dazu konnten jedoch Geräte mittels der Schwachstelle WebView addJavascriptInterface erfolgreich angegriffen werden. Ein Framework-Modul zur automatisierten Ausnutzung von Schwachstellen konnte ebenfalls realisiert werden. Dabei wird versucht, alle im Umkreis befindlichen Geräte anzugreifen, welche sich mit dem zur Verfügung gestellten WLAN verbinden. Mittels verschiedenen Ansätzen wird ein dem Gerät bekanntes WLAN erstellt, mit dem sich das Smartphone automatisch verbindet. Ist das verbundene Smartphone für bekannte Schwachstellen anfällig, können diese dazu verwenden werden, um sich Zugriff auf das Gerät zu verschaffen.