Mobile Security, Verschlüsselung & Datensicherheit

Wie man Malware in Apps versteckt

Wie man Malware in Apps versteckt
Wie man gefährlichen Code in harmlosen Apps versteckt haben Forscherteams der University of Colorado Boulder (UCB) aufgezeigt.

Wie man Malware in harmlosen Apps versteckt haben Forscher entdeckt. Sie nutzen dafür die schon durch Meltdown und Spectre bekannt gewordene spekulative Ausführung. Der Schadcode kann weder in der harmlosen App noch später im Speicher entdeckt werden. Software-Patches halten die Forscher zudem für wirkungslos.

Einschleusen von Schadsoftware

Forscher haben erneut eine Möglichkeit gefunden, die von modernen Prozessoren genutzte spekulative Ausführung von Befehlen für das Einschleusen von Schadsoftware zu missbrauchen. Es handelt sich allerdings nicht um eine neue Spectre-Variante, um Speicherinhalte auszulesen. Der ExSpectre genannte Angriff nutzt die spekulative Ausführung stattdessen, um gefährlichen Code zu verstecken, wie zdnet.de dazu erläuterte.

Nach Angaben eines Forscherteams der University of Colorado Boulder (UCB) lässt sich eine eigentlich harmlose App, die Nutzer bedenkenlos auf ihren Systemen installieren, für das Einschleusen von Schadcode verwenden. Dieser Code kann demnach nicht einmal von Sicherheitsanwendungen aufgespürt werden. Tatsächlich sind die Binärdateien aber so konfiguriert, dass sie nach Erhalt eines externen Auslösers spezielle Threads per Speculative Execution starten, die wiederum die harmlose App dazu bringen, schädliche Aktionen auszuführen.

Forscher zeigten Manipulation

Wie es weiter dazu heißt teilten die Forscher mit:

„Wir zeigen dies anhand der OpenSSL-Bibliothek als gutartiges Trigger-Programm und aktivieren ein bösartiges Payload-Programm, wenn sich ein Angreifer wiederholt mit dem infizierten OpenSSL-Server über eine TLS-Verbindung mit einer bestimmten Verschlüsselungssuite verbindet“

Zudem sei es möglich, verschlüsselte Speicherbereiche zu entschlüsseln, oder Apps so zu manipulieren, dass sie eine lokale Shell öffnen, was es wiederum erlaubt, Befehle auf dem System des Opfers auszuführen.

Daniel Gruss, einer der Entdecker der Meltdown- und Spectre-Lücken, ergänzte:

„Als ich dieses Papier zum ersten Mal sah, dachte ich sofort, dass dies eine sehr ordentliche Möglichkeit ist, Malware zu verstecken“

„Eine sehr interessante Idee. Sie zeigt, dass die spekulative Ausführung auch auf andere schädliche Arten eingesetzt werden kann.“

Der Angriff zeige aber auch, dass es außer Spectre und Meltdown noch mehr Möglichkeiten gebe, die spekulative Ausführung für schädliche Zwecke einzusetzen.

Fazit der Forscher

Die Forscher betonen, dass es derzeit nicht möglich ist, ExSpectre-Angriffe auf Softwareebene aufzuhalten. Tatsächlich sei wahrscheinlich nur eine neue Hardware-Generation in der Lage, Abhilfe zu schaffen. Diese Einschätzung wird auch von einem von Google-Mitarbeitern veröffentlichtes Whitepaper untermauert.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben