Mobile Sicherheitslücken stopfen

Schwachstellenscanner für Smartphones

21.05.2013 von Oliver Schonschek
Sicherheitslücken bei mobilen Geräten bleiben oftmals unentdeckt. Es ist höchste Zeit für ein mobiles Vulnerability Management.

Mobile Schwachstellen bereiten Sorgen

Die Zahl der bekannten Schwachstellen bei mobilen Betriebssystemen ist zwischen 2006 und 2011 massiv angestiegen, in 2011 alleine um 19 Prozent.
Foto: IBM

Fast 70 Prozent der Sicherheitsexperten sehen in den Schwachstellen von Smartphones und Tablets eine deutliche Bedrohung, wie eine Befragung von Tenable Network Security auf der RSA Conference 2012 ergab. 68 Prozent der Befragten gaben zudem an, über kein Verfahren zu verfügen, um die mobilen Schwachstellen aufzuspüren. Gleichzeitig wuchs die Zahl der Sicherheitslücken in mobilen Betriebssystemen und Apps innerhalb eines Jahres um 19 Prozent, so zum Beispiel der IBM X-Force 2011 Trend and Risk Report.

Jedes zweite Android-Smartphone betroffen

Mindestens eine Schwachstelle hat jedes zweite Smartphone auf Android-Basis. Die Schätzung basiert auf einer Untersuchung von Duo Security, bei der mehr als 20.000 Android-Geräte analysiert wurden.

Eine Studie von Mobilisafe geht sogar davon aus, dass 71 Prozent aller mobilen Endgeräte massive Sicherheitslücken aufweisen und alle 1,6 Tage eine neue Schwachstelle hinzukommt.

Schwachstellen bei Tablets und Smartphones führen zum Beispiel dazu, dass mobile Anwendungen höhere Berechtigungen erlangen können, als sie eigentlich bekommen sollen, dass bestimmte Programmfehle ohne Überprüfung ausgeführt werden oder dass Speicherbereiche des mobilen Endgerätes missbraucht werden können.

Fehlerbehebungen lassen auf sich warten

Solche Schwachstellen gibt es nicht nur bei Smartphones und Tablets. Bei mobilen Endgeräten jedoch besteht eine größere Gefahr, dass sie relativ lange bestehen bleiben und sie mit größerer Wahrscheinlichkeit von Datendieben und Hackern ausgenutzt werden.

Aktualisierungen zur Fehlerbehebung bei mobilen Betriebssystemen und Apps werden bei weitem nicht so regelmäßig angeboten, wie man es zum Beispiel im PC-Bereich gewohnt ist. Manche Smartphone- oder Tablet-Nutzer bleiben Monate oder sogar dauerhaft auf den Schwachstellen sitzen, weil es zum Beispiel für ihre spezielle Android-Version kein aktuelles Update gibt. Wie vielfältig die Versionslandschaft bei Android-Geräten ist und wie viele ältere Android-Versionen gegenwärtig noch aktiv genutzt werden, zeigen die Dashboards für Android-Entwickler. Demnach nutzen mehr als 75 Prozent der Android-Nutzer noch eine Version älter als 4.0.

Kein Fall für klassische Anti-Malware

Die entdeckten Android-Schwachstellen resultieren insbesondere aus Programmierfehlern und nicht etwa aus einer Infektion mit mobilen Schadprogrammen. Deshalb sind klassische mobile Malware-Scanner ungeeignet, die riskanten Sicherheitslücken zu entdecken. Hier sind spezielle, mobile Schwachstellen-Scanner gefragt.

1. Schwachstellen-Scanner auch für mobile Geräte

Nessus prüft die Version der mobilen Betriebssysteme und stuft die mobilen Endgeräte hinsichtlich der vorhandenen Schwachstellen in Risikogruppen ein.
Foto: Screenshot Präsentation Tenable Network Security

Der Schwachstellen-Scanner Nessus 5.0 von Tenable Network Security zum Beispiel kann nun auch für die Schwachstellenanalyse bei mobilen Endgeräten genutzt werden. Wählt man bei Nessus die Option "Mobile", sammelt der Schwachstellen-Manager relevante Informationen über die im Unternehmensnetzwerk bzw. Mobile Device Manager (MDM) registrierten, mobilen Endgeräte. Dabei wird unter anderem der Versionsstand des mobilen Betriebssystems erhoben.

Auch die Retina CS Vulnerability Management Console von eEye Digital Security bezieht mobile Endgeräte wie Android-Smartphones und Blackberry-Geräte in die Schwachstellen-Analyse der IT-Infrastruktur mit ein.

Die Software listet mobile Endgeräte, die ein veraltetes mobiles Betriebssystem nutzen, auf und bewertet den jeweiligen Sicherheitsstatus. Dadurch wird der Aktualisierungsbedarf bei den mobilen Endgeräten deutlich. Der Administrator kann auf Geräteebene nachvollziehen, wo welche bekannten Schwachstellen vorliegen.

Der eEye Scanner läuft lokal auf dem Smartphone und meldet dem Benutzer, welche Schwachstellen vorhanden sind und wie kritisch dies zu bewerten ist.
Foto: Screenshot Google Play

Um das zu erreichen, werden eindeutige Gerätekennungen wie zum Beispiel Seriennummern in den Schwachstellen-Bericht aufgenommen. Er beschreibt die mit dem veralteten Versionsstand verbundenen Sicherheitsrisiken und gibt Empfehlungen zur Fehlerbehebung. Insbesondere weist er auf verfügbare Patches des Herstellers hin.

2. Schwachstellen-Scanner speziell für Android

Die X-Ray App von Duo Security sucht speziell Schwachstellen auf Android-Geräten. Für die Installation muss dem jeweiligen Android-Gerät allerdings erlaubt werden, auch Apps außerhalb von Google Play zu installieren. Da bei einigen App-Stores mit erhöhten Sicherheitsrisiken zu rechnen ist, sollte man diese Einstellung nicht dauerhaft so belassen.

Für Android-Geräte gibt es den kostenlosen Schwachstellen-Scanner X-Ray von Duo Security.
Foto: Screenshot www.xray.io

Nach dem Start durchsucht die Scanner-App das jeweilige Android-Gerät nach bestimmten Schwachstellen. Sie wertet dazu Informationen über die Betriebssystemversion, das Gerätemodell und den Netzbetreiber aus. Wird sie fündig, meldet sie die entsprechenden Schwachstellen. Die Beschreibung der daraus resultierenden Gefahren dürfte jedoch die meisten Anwender etwas überfordern.

Der Schwachstellen-Scanner X-Ray von Duo Security ist allerdings nicht über Google Play verfügbar, sondern muss direkt installiert werden.
Foto: Screenshot www.xray.io

Zudem folgt auf die Entdeckung der Schwachstellen nicht direkt die Fehlerbehebung. Hier muss der Nutzer aktiv werden und sich um die aktuelle Android-Version für sein Smartphone bemühen, sofern eine solche Version bereits oder überhaupt verfügbar ist. Die X-Ray App gibt aber generelle Hinweise zum weiteren Vorgehen und sagt insbesondere, wie man im Android-Betriebssystem die Suche nach möglichen Patches startet.

3. Risikoanalyse für Schwachstellen inklusive

Die Nutzer mobiler Endgeräte können bei Mobilisafe über verfügbare Updates entsprechend intern definierter Richtlinien informiert werden. Nicht aktualisierte Geräte lassen sich blockieren.
Foto: Screenshot Präsentation Mobilisafe

Mobilisafe geht einen Schritt weiter und bietet umfangreiche Hilfe bei der Bewertung der entdeckten Schwachstellen. Zum einen erhebt die Software den Versionsstand des mobilen Betriebssystems und informiert den Nutzer über verfügbare Updates, die er mit Hilfe des jeweils auf dem Endgerät angezeigten Link zum Patch direkt installieren kann.

Mobilisafe berechnet auf Basis der entdeckten Schwachstellen Vertrauenswerte und Gefahrenpotenziale für mobile Endgeräte.
Foto: Screenshot Präsentation Mobilisafe

Zum anderen berechnet das Programm für jedes analysierte mobile Endgerät aber auch ein Vertrauensfaktor namens TrustScore und gibt damit den Grad der Bedrohung an. Auf dieser Basis ist es möglich, den Anwender gezielt über zu treffende Sicherheitsmaßnahmen zu informieren. Innerhalb der vorgegebenen Zeitspanne nicht aktualisierte Geräte oder solche, deren TrustScore als zu gering definiert sind, lassen sich für den weiteren Netzwerkzugang blockieren.

4. Die "Schwachstelle" Mensch nicht vergessen

Veraltete mobile Betriebssysteme stellen nicht die einzige Sicherheitslücke bei Tablets und Smartphones dar. Auch der Benutzer selbst ist eine Gefahr. 47 Prozent der Smartphone-Nutzer verwenden nach eigenen Angaben keinen Virenschutz; jeder fünfte verzichtet auf jegliche Sicherheitsfunktionen, wie eine BITKOM-Umfrage ergeben hat.

Eine Schwachstellen-Analyse für Smartphones sollte auch den Nutzer nicht vergessen. Mit Core Impact Pro lassen sich verschiedene Angriffe auf Schwachstellen simulieren.
Foto: Screenshot Präsentation Core Security

Dieses mangelnde Risikobewusstsein der Nutzer im mobilen Internet spielt insbesondere dann eine Rolle, wenn ein Unternehmen dem ByoD-Trend (Bring your own Device) folgt, bei dem private Endgeräte betrieblich genutzt werden. Entscheidend ist hier eine andere Form mobiler Schwachstellensuche - die Suche nach unerlaubten Apps auf betrieblich genutzten Smartphones und Tablets. Helfen können die Scanning-Funktionen der Mobile Device Manager wie AirWatch Mobile Device Management oder Sophos Mobile Control, die die auf den Endgeräten installierten Apps ausfindig machen und die von den Vorgaben abweichenden Geräte blockieren.

Core Impact Pro simuliert auch Phishing-Attacken oder Attacken auf Schwachstellen mobiler Betriebssysteme.
Foto: Screenshot Präsentation Core Security

Das sicherheitsrelevante Verhalten der Nutzer kann ebenfalls einer Art Schwachstellenanalyse unterzogen werden. Möglich wird dies zum Beispiel mit Core Impact Pro. Damit lassen sich Phishing-Tests über E-Mail und SMS für die mobilen Nutzer genauso aufsetzen wie das Vorspielen bösartiger WLAN Access Points, die auf Dienstreisen den mobilen Anwendern und ihren Daten schnell zum Verhängnis werden könnten. Auch die Demonstration, wie einfach heimliche Bewegungsprofile der Nutzer erstellt werden können, zeigt deutlich, welche Folgen unsichere Einstellungen und Funktionen bei Smartphones und Tablets unter Umständen haben.

5. Auch die Apps haben Schwachstellen

Die Suche nach Schwachstellen mobiler Endgeräte darf natürlich die Apps nicht außer Acht lassen. Eine Studie von Arxan zeigt, dass über 90 Prozent der 100 beliebtesten, kostenpflichtigen Apps für Hacker angreifbar sind.

Lösungen wie IBM Security AppScan machen sich auf die Suche nach unsicheren, angreifbaren Apps. Damit können auch intern entwickelte mobile Apps auf Schwachstellen hin geprüft und noch vor der Produktivphase besser abgesichert werden. Bereits verfügbare Apps sind mit App-Scannern prüfbar - diese lassen sich teil als Bestandteil mobiler Sicherheitslösungen, teils als Cloud-Dienst nutzen.

Auf den Lückenschluss kommt es an

Zu einem mobilen Schwachstellenmanagement gehört ein mobiles Patch-Management zwingend dazu. Werden entdeckte Schwachstellen nicht behoben, muss der Nutzer sonst aus Sicherheitsgründen ganz auf sein mobiles Endgerät verzichten.

Mobile Schwachstellen-Scanner steigern nur dann die mobile Datensicherheit, wenn die Nutzer angehalten werden, die Schwachstellen zu schließen oder die Updates sogar automatisch eingespielt werden. Separate Schwachstellen-Scanner wie die X-Ray App sind deshalb sinnvoll, um die Nutzer auf die Problematik der mobilen Schwachstellen hinzuweisen.

Eine direkte Optimierung der mobilen Datensicherheit bieten Schwachstellen-Scanner, die mit Mobile Device Managern (MDM) zusammen arbeiten oder selbst Teil einer MDM-Lösung sind. Dazu gehören die vorgestellten Produkte Nessus, Retina CS und Mobilisafe. Mit diesen ist in der Regel auch das Patch-Management für die mobilen Endgeräte sichergestellt.

Nicht ohne weitere mobile Sicherheitslösung

Mobile Schwachstellen-Scanner sind ein wichtiger Teil des Vulnerability Managements und der mobilen Datensicherheit, haben aber für sich genommen Einschränkungen: Ohne Patch-Management bleiben die Sicherheitslücken bestehen. Schwachstellen-Scanner ersetzen auch keine mobile Anti-Malware-Lösung.

Zudem sollte klar sein, dass nur bekannte Schwachstellen gemeldet werden, die in der Datenbank des Schwachstellen-Scanners bereits hinterlegt sind. Auch Schwachstellen-Scanner brauchen regelmäßige Updates. Zudem helfen die besten Features nicht, wenn die Programme nur selten zum Einsatz kommen. Am besten ist es deshalb, sowohl die Schwachstellen-Scans als auch die Aktualisierung der Schwachstellen-Datenbanken so weit wie möglich zu automatisieren. (sh)