• XCell Technologies

Wie vertraulich sind Ihre Anrufe?

Kein Grund zur Panik.

Dies ist kein Fall von geheimen nationalstaatlichen Methoden zum Abhören von Telefonen (oder Spionage, wie es oft genannt wird).

Es ist keine Geschichte von Cyberkriminellen, die absichtlich versuchen, Ihre Geschäftsgespräche abzuhören, um massive Rechnungszahlungen umzuleiten oder Ransomware mit millionenschweren Erpressungsforderungen zu implantieren.

Das war die gute Nachricht.

Der Fehler in diesem Fall, der vom indischen Cybersecurity-Forscher Anand Prakash entdeckt wurde, war lediglich ein Fehler schlechter Programmierung.

Die schlechte Nachricht ist, dass die Nebenwirkungen des Fehlers von jedermann, überall und jederzeit ausgenutzt werden konnte.

Wer braucht eine Authentifizierung?

Die Art der Sicherheitslücke, die Prakash gefunden hat, bekommt oft den wohlklingenden Namen IDOR, kurz für Insecure Direct Object Reference.

Eine IDOR-Sicherheitsanfälligkeit besteht normalerweise aus einer Website oder einem Dienst, die es jemandem, der die App ausführt, leicht macht, Daten abzurufen, auf die er zugreifen soll....

...um herauszufinden, wie man in Zukunft die Daten anderer Leute abrufen kann, ohne sich anzumelden oder überhaupt zu authentifizieren. In der Regel werden Sie feststellen, dass eine App oder ein Dienst eine URL oder ein Webformular verwendet, das Ihre eigene Benutzer-ID, eine Seriennummer oder eine andere nicht sehr geheime Kennung enthält, ohne dass Sie auf andere Weise sicher sein können, dass es sich um Sie handelt. Sie können z.B. versuchen, eine Anfrage mit der ID einer anderen Person, der nächsten Nummer in der Reihenfolge, oder einer anderen wahrscheinlichen Vermutung für eine gültige Referenz zu erstellen, und feststellen, dass das System die Daten direkt für Sie abruft, obwohl es nicht Ihr Datensatz ist und Sie ihn nicht sehen sollten.

Theoretisch können viele ausnutzbare IDOR-Fehler rein analytisch gefunden werden, indem man die verdächtige App zurückentwickelt, ohne jemals ein gefälschtes Konto zu erstellen und die App selbst auszuführen. In der Praxis ist es oft einfacher und schneller, einige grundlegende Umkehrungen vorzunehmen, um Ihnen eine Vorstellung davon zu geben, wonach Sie suchen müssen und dann die verdächtige App auszuführen, während Sie sie in Aktion beobachten. Sie müssen nicht tagelang eine App statisch in einem Decompiler analysieren, wenn Sie die Bugs direkt aus dem eigenen Verhalten ableiten können - Sie geben der App einfach die Chance, ihre eigene Cybersicherheitsgans zu kochen, während Sie sich Notizen machen.

In diesem Fall hieß die App "Acr call recorder" - für das iPhone, wie viele Apps im App Store ist sie (oder war es, als wir nachsahen) mit Hunderten, ja Tausenden von glühenden 5-Sterne-Bewertungen überhäuft.

Sie können sich wahrscheinlich denken, worauf das hinausläuft, viele dieser 5-Sterne-Bewertungen empfehlen in ihrem Text kurioserweise eine ganz andere App oder loben die App mit seltsamen Wendungen, die unwahrscheinliche und sogar beunruhigende Gründe vorbringen.

Zum Beispiel versichert Ihnen jemand namens Earnest, dass "es definitiv Verschwendung ist, wenn Sie diese Anwendung nicht ausprobiert haben", während Christopher.1966 sagt, dass er "dieses kleine Ding fast seit dem Einsteigen in den Zug benutzt hat", und Brenda etwas gruselig, wenn auch redundant, ihre Freude darüber ausdrückt, dass sie nun "aufzeichnen kann, was ich und meine Freundin gesagt haben." (Ein Anrufrekorder, der keine Anrufe aufzeichnen könnte, wäre schlichtweg falsch benannt.)

Auch wenn sich herausstellt, dass Brenda sich auf eine ganz andere App bezieht, die eine Funktion zum Wechseln der Stimme enthält, fragt man sich, ob Brendas Freundin realisiert hat, mit wem sie spricht, als sie aufgenommen wurde. Brendas 5-Sterne-Bewertung zählt immer noch zu den attraktiven durchschnittlichen Bewertung von 4,2/5 für die oben erwähnte Anrufrekorder-App.

Es gibt jedoch viele 1-Sterne-Bewertungen, die Sie warnen, dass dies eine dieser „kostenlosen Test-Apps“ ist, die sich automatisch in Rechnung stellen, wenn Sie nicht innerhalb von drei Tagen kündigen - eine Art von kostenlosen Apps, die Elizafisch sehr kurz mit ihrer Bewertung beschrieben hat "KOSTENLOS ????? Lächerlich."

Aber die vielleicht treffendste Bewertung, zumindest bis die App aktualisiert wurde, nachdem der Entwickler den Fehlerbericht von Anand Prakash erhalten hatte, war die 5-Sterne-Bewertung von Leanne, in der es heißt: "Ich kann nicht nur Aufnahmen verwalten, sondern sie bei Bedarf auch einfach teilen. So praktisch für mich!"

Was Leanne jedoch ausgelassen hat, war, dass die Cloud-basierte Speicherfunktion der App nicht nur für sie, sondern für alle anderen auf der Welt praktisch ist, auch für diejenigen, die weder diese App noch ein iPhone besitzen.

Ihre Anrufe mit anderen Menschen zu teilen, war anscheinend viel einfacher, als sie dachte.


Wer braucht eine Authentifizierung?

Prakash dekompilierte die App, um nach wahrscheinlichen URLs zu suchen, mit denen sie möglicherweise eine Verbindung herstellt, überwachte die App während der Ausführung und stellte fest, dass eine seiner Call-Home-Anforderungen ein Block von JSON-Daten war, der ungefähr so aussah:

POST /fetch-sinch-recordings.php HTTP/1.1 Host: [REDACTED] Content-Type: application/json Connection: close [. . .more headers, no unique cookies or tokens. . .] { "UserID": "xxxxxx", "AppID": "xxx" }

Da es keine Möglichkeit gibt, diese Anfrage an einen bestimmten Benutzer zu binden, der sich bereits authentifiziert hat, und der Server keine Möglichkeit hat, zu entscheiden, ob der Absender der Anfrage überhaupt das Recht hat, nach Daten zu fragen, die dem durch UserID...... bezeichneten Benutzer gehören, kann jemand die UserID eines beliebigen Benutzers in eine gefälschte Anfrage einfügen, und daher sind die Daten eines jeden vor niemandem sicher. Diese Art von Fehler erhält den Namen IDOR, da er es Angreifern ermöglicht, ihre Opfer unsicher und direkt zu bestimmen, indem sie einfach eine neue UserID direkt in die Anfrage einfügen.


Was soll ich tun?

Hier ist unser Tipp.

Lassen Sie sich als Benutzer nicht von den Bewertungen im App Store oder bei Google Play beeinflussen.

Wir schlagen vor, dass Sie die Rezensionen und Sterne-Bewertungen in den App-Stores ignorieren. Sie haben keine Ahnung, wer diese Bewertungen abgegeben oder die Rezensionen hinterlassen hat, oder ob er die App überhaupt benutzt hat.

Gefälschte Bewertungen und offiziell aussehende App-Store-Bewertungen können online zu einem Preis gekauft werden, der fast buchstäblich zehn Pfennig beträgt. Suchen Sie nach Bewertungen in unabhängigen Benutzerforen oder nach Diskussionen in Online-Cybersicherheitsgruppen.

Erwägen Sie die Verwendung von mobiler Cybersicherheitssoftware von Drittanbietern, um den integrierten Schutz des von Ihnen verwendeten Geräts zu ergänzen.

Sowohl Apple als auch Google betreiben ihre eigenen Online-Shops, die geprüfte und genehmigte Apps enthalten. Diese ummauerten Gärten sind jedoch alles andere als perfekt. Es gibt einfach zu viele Entwickler und zu viele Apps, als dass sie von einem Experten eingehend geprüft werden könnten.

Befolgen Sie als Programmierer die betriebssystemeigenen Empfehlungen zur sicheren Kodierung.

Richtlinien von Apple, Google und anderen zum sicheren Programmieren auf ihren Plattformen allein reichen nicht aus.

Wenn es jedoch Ratschläge des Anbieters gibt, die Sie ignoriert haben oder die Sie noch nicht einmal kennen, ist Ihre Cybersicherheit wahrscheinlich nicht auf dem neuesten Stand. Behandeln Sie daher die eigenen Richtlinien des Anbieters als „notwendig, aber nicht ausreichend“,

Apple zum Beispiel hat eine breite Palette von Sicherheitshinweisen für Programmierer, die Authentifizierung (macht die richtige Person das Richtige?), Vertraulichkeit (sind die Daten sicher vor Schnüffelei, wenn sie gespeichert oder über das Netzwerk bewegt werden?) und Gültigkeit (macht der richtige Code das Richtige?) abdecken.

Hören Sie nie auf, über Cybersicherheit zu lernen und zu lesen.

Einer der Gründe, warum wir existieren, besteht darin, Ihnen zu helfen, die Cyberkriminalität zu verstehen und zu bekämpfen und die Art von Fehlern zu vermeiden, die den Gaunern das Leben erleichtern. (Wir sehen dies nicht als Einbahnstraße - wir lesen alle Kommentare und Ratschläge, die Sie, unsere Leser, hier hinterlassen, und stellen sicher, dass auch unsere Entwickler und Produktmanager Sie hören!)

Wenn Sie gerade erst in die Cloud- oder Web-Entwicklung einsteigen und wissen wollen, was Sie als Erstes lernen sollten, sind die OWASP Top Ten wahrscheinlich ein guter Anfang.

Denken Sie daran, dass Cybersicherheit eine Reise und kein Ziel ist.