Skip to content

Rootkits für Smartphones und Mac OS X

Rootkits für Smartphones im allgemeinen und Android im besonderen sowie für Mac OS X bilden den Abschluss des Themenkomplexes "Rootkits".

Rootkits auf Smartphones

Die Gefahren durch Rootkits für Smartphones wurden z.B. von Jeffrey Bickford, Ryan O'Hare, Arati Baliga, Vinod Ganapathy und Liviu Iftode von der Rutgers University im Paper "Rootkits on Smart Phones: Attacks, Implications and Opportunities" beschrieben, das auf dem im Februar 2010 abgehaltenen "11th International Workshop on Mobile Computing Systems and Applications" (HotMobile 2010) präsentiert wurde.

Sie entwickelten drei Proof-of-Concept-Rootkits für ein Neo Freerunner Smartphone mit Openmoko Linux: Zum Belauschen der Umgebung des Smartphones, zum Abfragen des über GPS ermittelten Standorts und zum Auslösen eines Denial-of-Service durch Verbrauch der gesamten Batterieleistung. Ein Video demonstriert das Belauschen.

Als Verbreitungswege werden im Paper die "üblichen Verdächtigen" genannt, wie z.B. über Bluetooth und Textnachrichten, Downloads von bösartigen Websites (ob damit Trojaner oder Drive-by-Infektionen gemeint sind, ist nicht klar), E-Mail-Anhänge, Peer-to-Peer-Anwendungen usw.. Auch bei der Persistenz gibt es keine neuen Erkenntnisse: Nisten die Rootkits sich nur im Speicher ein, sind sie kaum zu erkennen, leben aber auch nicht sehr lange. Manipulieren sie Teile des Betriebssystems auf dem Massenspeicher, fallen sie durch die dabei entstehenden Spuren leichter auf.

Womit wir bei der Erkennung der Smartphone-Rootkits wären. Rootkits, die Systemprogramme und Kernelmodule manipulieren, verraten sich u.U. durch die dafür notwendigen Änderungen des Massenspeichers. Sofern sie die für deren Erkennung notwendigen Funktionen des Systems und der installierten Programme bzw. deren Ergebnisse nicht manipulieren. Auf normalen Rechnern kann man das verhindern, indem man den Rechner mit einen bekanntermaßen sauberen System, z.B. von CD-ROM, startet und danach das installierte System und die vorhandenen Massenspeicher scannt. Dieser Weg ist bei einem Smartphone i.A. versperrt. Im Paper wird beschrieben, wie eine Hardwarebasierte Erkennung möglich ist: Ein Trusted Platform Module prüft die Integrität der auf dem Smartphone installierten Software, eine externe "verification authoritiy" prüft diese Daten. Ein zweiter Ansatz basiert darauf, das Smartphone-OS in einer virtuellen Maschine laufen zu lassen, die von einem darunter laufenden System überwacht wird.

Graham Cluley von Sophos stufte die vorgestellten Angriffe damals als nicht besonders besorgniserregend ein:

"I don't think the kind of attack described by Iftode and Ganapathy is a big deal right now."

Er begründete das damit, dass sich die Rootkits nur schwer einschleusen lassen und nennt als mögliche Angriffe den physikalischen Zugriff auf das Gerät, das Ausnutzen einer Schwachstelle oder Social Engineering. Inzwischen sieht die Sache wohl anders aus, ich verweise nur auf die verschiedenen Trojaner und Würmer für Smartphones, die immer wieder auftauchen. Die können auch ein Rootkit mitbringen. Und Trojaner, die einige dieser Schadfunktionen enthalten gibt es bereits. Nicht zu vergessen die Spyware für Smartphones, die Rootkit-Fähigkeiten mitbringt! Womit wir wieder beim "physikalischen Zugriff" wären, da die u.a. von dem Smartphone-Besitzer mehr oder weniger nahestehenden Personen installiert wird, die ganz regulär Zugriff auf die Geräte haben. Und ob eine Spyware mit Rootkit nun von einem Cyberkriminellen durch einen Trojaner oder vom z.B. Ehepartner durch Aufruf des Installationsprogramms installiert wird, ist im Endeffekt (zumindest technisch betrachtet) egal.

Rootkits für Android

Auf der vom 30. Juli bis 1. August 2010 abgehaltenen Sicherheitskonferenz Def Con 18 stellten Nicholas J. Percoco und Christian Papathanasiou unter dem Titel "This is not the droid you're looking for..." ein Kernel-Level-Rootkit für Android vor, das eine Hintertür öffnet (Material dazu). Die möglichen Folgen: Lesen von SMS, Telefonieren auf Kosten des Benutzers, evtl. Abfrage der GPS-Position. Auf der vom 4. bis 7. August 2011 stattfindenden Def Con 19 wird es einen Folgevortrag geben: "This is REALLY not the droid you're looking for...", in dem u.a. gezeigt werden soll, wie über reguläre API-Aufrufe Zugangsdaten ausgespäht werden können.

Ebenfalls 2010 stellte Jon Oberheide "Rootstrap" vor, einen Proof-of-Concept für ein Programm, "that could be used to bootstrap a rootkit", dass Google dann von allen Android-Geräten löschen ließ. Dass Google schädliche Programme evtl. aus der Ferne löschen kann, ist keine Garantie dafür, dass nichts passiert. Erstens sind die Schädlinge bis zum Löschen einige Zeit auf dem Smartphone aktiv und können Schaden anrichten, zweitens könnte ein vom Schädling installiertes Rootkit das Löschen des Schädlings verhindern oder zumindest selbst überstehen und danach neuen Schadcode nachladen. Und "In the wild" gab es bereits Android-Schädlinge, die sich Root-Rechte verschaffen: Sie wurden im März 2011 durch Trojaner installiert, die es in den Android Market geschafft hatten. Ein Rootkit ist dann der logische nächste Schritt, diente es doch ursprünglich nur dazu, die auf einem Unix-System erlangten Root-Rechte möglichst lange unbemerkt ausnutzen zu können.

Rootkits für Windows CE/Mobile, Blackberry und iOS

Das es öffentliche bekannte Methoden gibt, um sich in APIs von Windows CE und Mobile einzuhaken, war bereits 2009 bekannt, und ein Proof-of-Concept für ein iPhone-Rootkit präsentierte Eric Monti auf der Sicherheitskonferenz ToorCon 12, die vom 22. bis 24. Oktober 2010 stattfand. Dabei wurden im August 2010 von Apple gepatchte Schwachstellen ausgenutzt, aber es wäre ein Wunder, wenn es nicht weitere Schwachstellen gäbe, die von einem Rootkit ausgenutzt werden können. Und im Februar 2010 stellte Tyler Shields auf der Sicherheitskonferenz ShmooCon eine Proof-of-Concept-Spyware für Blackberry vor (Ergänzungen dazu), die alle mögliche Daten samt GPS-Standort sammeln und Gespräche im Raum abhören kann. Die Spyware basiert lediglich auf dokumentierten Funktionen und setzt keine Rootkit-Techniken ein, könnte das aber zur eigenen Tarnung natürlich tun.

"In the wild" gibt es bisher für keines der Systeme "echte" Rootkits, wenn man die sich dieser Techniken bedienenden Überwachungsprogramme ausklammert. Die agieren in einer Grauzone, je nach Gesichtspunkt fallen sie unter Spyware oder nicht.

Rootkits für Mac OS X

Für Rootkits unter Mac OS X war 2009 das entscheidende Jahr: Auf der Sicherheitskonferenz Black Hat USA, die vom 25. bis 30. Juli stattfand, präsentierte Dino Dai Zovi ein Proof-of-Concept-Rootkit für Mac OS X (Material dazu). Während es bis dahin für den Mac nur herkömmliche Unix-Rootkits gab, stellte Dino Dai Zovi ein Rootkit für den Mach-Kernel des Mac OS X vor. Für das "Machiavelli" genannte Rootkit wurde auch der Sourcecode veröffentlicht.

Und auf der vom 31. Juli bis 2. August abgehaltenen Sicherheitskonferenz Def Con 17 hielt Bosse Eriksson einen Vortrag mit dem Titel "Runtime Kernel Patching on Mac OS X", in dem er typische Rootkit-Techniken, angewendet auf den Mach-Kernel (XNU), beschrieb (Material dazu).

Auch "in the wild" gibt es bereits ein Mac-Rootkit: Es wird vom "Java-Trojaner" Boonana auf den Mac installiert.

Und damit ist das Thema "Rootkits" erst mal abgeschlossen. In der nächsten Folge geht es um unerwünschte Fernwartung, die dafür verwendete Schadsoftware wird als "Remote Administration Toolkit" oder kurz "RAT" bezeichnet.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits
Rootkits - Schadsoftware im System
Rootkits gegen Festplattenverschlüsselung und für BSoD
TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
SubVirt und Blue Pill - Rootkits mit Virtualisierung
Rootkits für Xen und SMM
Rootkits (fast) in der Hardware
Rootkits für Smartphones und Mac OS X
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Keine Trackbacks