In einem Blogeintrag vor nicht ganz zwei Wochen sprach ich im Kontext von BlackBerry über die Notwendigkeit einer gesicherten Updatestrategie auch für Smartphones. Auf dieser Welle möchte ich aus gegebenem Anlass nochmal reiten.
Auf Metasploit berichtet Tod Beardsley über den Exploit einer Sicherheitslücke in Android Versionen < 4.2, die bereits seit 2012 bekannt ist. Anscheinend war nur das ganze Ausmaß des Dramas bisher nicht offensichtlich. Tod jedoch demonstriert einen Exploit, mit dem es möglich ist, per Command Shell auf das infizierte Gerät zuzugreifen.
Was bedeutet das?
Wie es Tod in einem Kommentar formuliert: "Pretty much keys to the kingdom". Damit geht im Wesentlichen alles. Das Gerät kann komplett ferngesteuert werden... Wie wäre es mit einem Passwort-Diebstahl z.B. vom Online Banking? Oder mal das Mikro anzapfen und das Vorstandsmeeting abhören? Eigentlich habe ich es aufgegeben, im Kopf irgendwelche Szenarien durchzuspielen, was möglich ist und was nicht, denn irgendetwas übersehe ich bestimmt. Vielleicht sollte ich meine Sicherheitssensitivität nicht von meiner Fantasie, sondern von der anderer abhängig machen...
Wie kann man sich schützen?
Zunächst einmal nicht auf jeden Link "klicken" oder jeden QR-Code einlesen. 
Selbst dann nicht, wenn die Quelle vermeintlich vertrauenswürdig ist. Spoof, gehackte Mailkonten und gefälschte QR-Tags sind immerhin kein Neuland. So far, so gar nicht neu.
Vielleicht wäre es einen Gedanken wert, über die MDM-Suite des Vertrauens die Nutzung von QR-Codes zu verbieten? Und möglicherweise könnte ein Proxy auch für die Smartphones ein kleines bisschen Sicherheit wiederherstellen? Zumindest werden Proxies ja im normalen Desktop-Kontext auch mit diesem Gedanken eingesetzt.
Und natürlich die im Titel angedeutete Update-Strategie. Was hier der Android-Community mal wieder auf die Füße fällt ist, dass, obwohl es (theoretisch) seit Dezember verfügbar ist, das neueste Android Update auf Version 4.4 "KitKat" laut Google bisher erst einen Verbreitungsgrad von gerade mal 1,4% erreicht hat. Umgekehrt sind ca. 70% aller noch im Umlauf befindlichen Androiden potentiell von der Sicherheitslücke betroffen. Zu nicht geringen Teilen werden sogar neue Smartphones auch von renommierten Herstellern noch mit veralteten Android-Versionen < 4.2 ausgeliefert. Wie im ersten Artikel (CSO) beschrieben, betrifft das vor allen Dingen billige Smartphones. Nur mal zum Vergleich, was den Verbreitungsgrad der letzten OS-Version auf Volkes liebster mobiler Spielekonsole angeht: iOS 7 ist aktuell auf 82% aller aktiven Ei-Geräte installiert. Der Rest hat vermutlich einfach verpasst, auf "Update" zu drücken.
Aber auch eine gute Update-Versorgung vom Hersteller/Provider hilft nur dann, wenn sie auch auf den Endgeräten ankommt. In jeder Windows-Domäne werden Updates zentral verteilt und erzwungen. Warum nicht auch auf dem Smartphone? Wir alle wissen, dass viele Nutzer nicht auf "Aktualisieren" klicken, wenn sie gefragt werden - oftmals sogar aus nachvollziehbaren Gründen. Die Frage an sich ist schon falsch.
Die Moral von der Geschicht'?
Unsere MDM-Wunschfeatures des Woche sind:
- Verbieten von QR-Codes und wenn wir schon dabei sind: NFC (mindestens genauso gefährlich)
- Erzwingen eines Web-Proxies, sofern dies zur Sicherheitsstrategie des Unternehmens gehört
- Inventarisierung und Übersicht über verwendete OS-Versionen
- zentrale Verteilung von OS-Updates
- Festlegung einer minimalen OS-Version, die auf die Server zugreifen darf
Hat eigentlich jemand Erfahrungen mit Custom ROMs wie z.B. Cyanogen? Stellen diese eine sinnvolle Alternative zu den mitgelieferten Androids dar? Insbesondere, wenn vom Hersteller keine Updates mehr kommen?
