Die auf Firewall- und Sicherheitslösungen spezialisierte Check Point Software Technologies mit Hauptsitz in Tel Aviv-Jaffa hat kürzlich die sogenannte Android-Lücke "Certifi-gate" aufgespürt. Im Interview mit ICTkommunikation erläutert Michael Shaulov, Head of Mobility Product Management bei Check Point, was an Certifi-gate gefährlich ist und wie man sich vor ihr und anderen Schwachstellen schützen kann.
ICTkommunikation: Check Point hat Anfang August eine Sicherheitslücke in Android-Geräten entdeckt, das sogenannte Certifi-gate. Können Sie kurz erklären, um was es dabei geht?
Michael Shaulov: Certifi-gate erlaubt es Cyberkriminellen, heimlich uneingeschränkten Zugriff auf ein Gerät zu erlangen. Dazu werden Remote Support-Applikationen missbraucht, die in der Regel über solche Rechte verfügen. Bösartige Anwendungen erlauben eine Ausweitung der Nutzerrechte und Zugriff auf persönliche Daten durch Hacker. Dadurch können sie eine Reihe von Aktivitäten einleiten, die normalerweise nur dem Geräteinhaber zur Verfügung stehen. Die Installation von Apps, die Verfolgung des Nutzerstandorts oder die Aufnahme von Gesprächen über das Mikrofon sind nur einige Beispiele. Android stellt keine Möglichkeit zur Verfügung, um die Zertifikate für die erweiterten Rechte zu deaktivieren.
ICTkommunikation: Wie unterscheidet sich Certifi-gate von anderen Schwachstellen?
Michael Shaulov: Die Certifi-gate Sicherheitslücke beruht auf der Tatsache, dass die Geräthersteller, zum Beispiel Samsung, LG oder HTC, ihre privilegierten Rechte für das Gerät, etwa das Root-Zertifikat, Drittanbietern zur Verfügung gestellt haben, die es verwendeten, um Remote Support-Tools zu erstellen. Es ist extrem schwierig, die Zertifikate für die erweiterten Rechte zu deaktivieren. Ein Fix durch einen Patch ist nicht möglich, es braucht ein komplettes Update der Software.
ICTkommunikation: Wie kann sich ein Android-User schützen?
Michael Shaulov: Nutzer von Android können ihr Mobilgerät auf die Verwundbarkeit durch Certifi-gate prüfen, indem sie unseren gratis Certifi-gate Scanner aus dem Google Play Store herunterladen. Sollte ihr Gerät betroffen sein, gibt es eine Reihe von Dingen, die ein Benutzer machen kann, um das Device zu schützen. Man kann die Apps und Plugins entfernen und auf eine neuere Android-Version, die nicht betroffen ist, aktualisieren. Wenn keine neue Version zur Verfügung steht, sollte der Nutzer seinen Carrier oder Hersteller kontaktieren und anfragen, wann eine neue Version zur Verfügung gestellt wird. Die besonderen Massnahmen finden sich am Ende unserer Blog-Posts: http://blog.checkpoint.com/2015/08/25/certifigate-statistics-exploitatio...
ICTkommunikation: Wie oft wurde dieser Scanner bisher heruntergeladen und was hat er erkannt? Wie viele mobile Geräte sind betroffen?
Michael Shaulov: Die Scanner App wurde in den ersten drei Wochen auf Google Play 100.000 Mal heruntergeladen. Von diesen haben 30.000 Nutzer zugestimmt, uns anonym Scan-Informationen zu senden. Wir haben festgestellt, dass die Geräte von LG am meisten gefährdet waren, gefolgt von Samsung und HTC. Auf 16 Prozent der Geräte war ein schädliches Plugin installiert. Drei Geräte wurden tatsächlich aktiv ausgenutzt.
ICTkommunikation: Macht es also einen Unterschied, wer der Hersteller des mobilen Geräts ist?
Michael Shaulov: Ja. Nicht alle Hersteller verkaufen Geräte, die über betroffene Plugins oder Remote-Support-Anwendungen verfügen. Nur diejenigen, die in unserem Forschungsbericht identifiziert sind, sind auch betroffen.
ICTkommunikation: Sollte denn nicht der Anbieter, oder auch Google Play, sicherstellen, dass die angebotenen Anwendungen sicher sind?
Michael Shaulov: Doch. Letztlich sind die App-Anbieter und Google für die Gewährleistung der Sicherheit von Anwendungen verantwortlich. Aber es ist auch klar, dass es immer wieder ‚verseuchte‘ Apps in den Store schaffen. Gerad erst vor kurzem haben wir beispielsweise Zeroday Malware-Apps im Google Play Store gefunden. Die Tatsache, dass Google Play es versäumt, die Anwendungen von Zeit zu Zeit zu überprüfen, bedeutet, dass zusätzliche Massnahmen ergriffen werden müssen, um sich vor diesen Bedrohungen zu schützen. Und: Google ist kein Sicherheitsunternehmen.
ICTkommunikation: Aus Ihrer Sicht, welches OS für mobile Geräte ist am wenigsten anfällig?
Michael Shaulov: Wohl ist iOS weniger anfällig als Android, denn Android ist Open Source und stark fragmentiert. Doch haben raffinierte Hacker erkannt, dass „hochwertige Ziele“ mehr und mehr iOS-Geräte nutzen, und so finden sie auch Wege, ins Inneren dieser Geräte zu kommen. Es gibt so viele unbekannte Gefahren da draussen, die auf iOS abzielen - genauso wie auf Android.
ICTkommunikation: Was macht Malware in der Regel auf einem mobilen Gerät? Was ist das Ziel jener, die ein mobiles Gerät infiltrieren?
Michael Shaulov: Malware kann so gestaltet werden, dass sie eine Reihe von Dingen tut. Das beste Beispiel ist ein Stück Software, das ganz gewöhnlich scheint - etwa eine Taschenlampen-App - die den Benutzer nach einer Vielzahl von Berechtigungen fragt. Was würde eine gewöhnliche App mit so vielen Berechtigungen tun? Wir haben Anwendungen wie diese gefunden, die Informationen vom Gerät an einen Remote-Server durchsickern lässt. Das sind Daten wie Kontakte, Nachrichten, Telefonnummern, GPS-Koordinaten und vieles mehr. Es gibt auch Schadenprogramme wie mRATs, die dazu dienen, einem Hacker die Fernsteuerung eines Devices zu ermöglichen. So kann ein Hacker beobachten, wie ein Benutzer durch sein Device browst oder er kann es sogar übernehmen, um beispielsweise das Mikrofon oder die Kamera für Spionagezwecke zu nutzen.
ICTkommunikation: Was macht mobile Sicherheit besonders? Wie unterscheidet sie sich von ‚normaler‘ Sicherheit?
Michael Shaulov: Mobile Security ist anders, weil die Technologie, die sie zu schützen versucht, neuer ist und sich ständig weiterentwickelt. In den meisten Fällen ist die Sicherung von Laptops und PCs relativ einfach und hat sich über die Jahre nicht gross verändert. Aber mit so vielen verschiedenen mobilen Geräten, fragmentierten Betriebssystemen und komplizierten Sicherheitslücken ist es wichtig, über eine umfassende Sicherheitslösung zu verfügen, die Verhaltensweisen im Netz genauso so analysiert wie auf dem Gerät, um festzustellen, wenn etwas Bösartiges passiert. Darüber hinaus, da mobile Geräte in der Regel dem Mitarbeiter gehören (Byod), müssen Sicherheitslösungen auch die Privatsphäre des Nutzers schützen.
ICTkommunikation: Sie waren CEO und Mitbegründer von Lacoon, welche von Check Point erworben wurde. Warum haben Sie Ihr Unternehmen verkauft?
Michael Shaulov: Wir wollten unser Geschäft beschleunigen, mehr Kunden erreichen und den Markt zeitnah sensibilisieren. Check Point ist eine grossartige Plattform, die uns das ermöglicht, mit einer grossen Vertriebsmannschaft und tollen Vertriebskanälen, die uns das oben genannte ermöglicht.
ZUR PERSON
Michael Shaulov ist Leiter Mobility Product Management bei Check Point. Vor seiner Tätigkeit bei Check Point war er CEO (Chief Executive Officer) und Mitbegründer von Lacoon Mobile Security, die von Check Point in April 2015 erworben wurde.
