Android-Smartphones durch AT-Modembefehle aus den 80ern angreifbar

Eine systematische Untersuchung von über 2000 Android-Firmware-Images von 11 verschiedenen Herstellern zeigt: Die wenig beachteten AT-Befehle können dazu missbraucht werden, Android-Sicherheitsfunktionen abzuschalten und neue, potenziell bösartige Firmware auf die Geräte zu spielen. Angreifer könnten außerdem die Besitzer der Geräte ausspionieren, gefälschte Touch-Eingaben einschleusen und Bildschirmsperren umgehen. Glücklicherweise sind die beschriebenen AT-Modembefehle nicht aus der Ferne zu missbrauchen, der Angreifer muss also eine USB-Verbindung zu verwundbaren Geräten herstellen – zum Beispiel indem er öffentliche Computer oder Lade-Ports manipuliert. Die Sicherheitsforscher zweier Universitäten in Florida und New York sowie der Firma Samsung, die die Lücken entdeckten, schließen allerdings nicht aus, dass ähnliche Angriffe ebenfalls über Bluetooth ausführbar sind.

AT-Befehle stammen aus der Modemtechnik der 1980er Jahre und werden immer mal wieder für Angriffe auf moderne Handys missbraucht. Der ursprünglich von der Firma Hayes entwickelte Befehlssatz wurde über die Jahre immer weiter ausgebaut und von Herstellern mit eigenen Befehlen ergänzt. Diese sind oft schlecht oder gar nicht dokumentiert, entsprechend mussten die Forscher bei ihrer Untersuchung auch viel auf Reverse Engineering zurückgreifen.

Von 14 untersuchten Geräten geben fünf einem Angreifer standardmäßig Zugang auf AT-Befehle über das USB-Interface, vier weitere erlauben Angriffe, nachdem sie gerootet wurden. Die fünf Geräte, die praktischen Angriffen somit am meisten ausgesetzt sind, sind die Modelle S7 Edge, S8 Plus und Galaxy Note 2 von Samsung, sowie das LG G3 und G4. Wobei das Galaxy Note 2 doch sehr in die Jahre gekommen ist. Die Forscher scheinen ohnehin nur Geräte bis zur Android-Version 7.1.1 getestet zu haben. Ob aktuellere Android-Versionen auch angreifbar sind, ist nicht im Detail bekannt, aber wahrscheinlich.

Hat ein Angreifer ein verwundbares Smartphone ausgemacht und es geschafft, dass der Nutzer dieses an einen USB-Port anschließt, der unter seiner Kontrolle steht, kann er über die AT-Befehle eine Reihe von bösartigen Aktionen ausführen. So kann er etwa bei einigen Geräten den USB-Debug-Modus aktivieren, ohne dass der Nutzer oder gar Teile des Android-Betriebssystems dies mitbekommen. Bei einigen Geräten kann der Angreifer dann über AT-Befehle eine neue Geräte-Firmware flashen, die zum Beispiel Malware enthält oder das Gerät rootet. Einige AT-Befehle ermöglichen es, Sicherheitsmechanismen von Android zu umgehen. So kann der Angreifer etwa die Bildschirmsperre deaktivieren, Notifications unterdrücken oder Anrufe annehmen oder ablehnen. Je nach Hersteller des Gerätes kann man so auch die mobile Datenverbindung nutzen oder PINs ändern und auf SIM-Karten-Daten zugreifen. Bei LG-Geräten kann der Angreifer sogar die IMEI-Nummer manipulieren.

Die über AT-Befehle ausgeführten Aktionen werden von Hersteller-spezifischen System- oder Baseband-Daemons unterhalb des Android-Betriebssystems verarbeitet. Android-Programme bekommen davon also nichts mit und die Aktionen sind für den Benutzer des Gerätes nicht ersichtlich. Der Angreifer kann auf diesem Wege auch eine Menge Daten auslesen, die eigentlich vertraulich sein sollten; etwa Hardware-spezifische Identifier und Verbindungsinformationen, über die das Gerät sehr effektiv getrackt werden kann. Darüber hinaus kann ein Angreifer auf manchen Geräten auch Touch- und Tastatur-Events an die Android-Oberfläche abgeben – alles über die USB-Verbindung.

Erschwerend kommt hinzu, dass manche der Daemons, die AT-Befehle verarbeiten, empfänglich für Daten sind, die Speicherverarbeitungsfehler auslösen. Ein Angreifer könnte so vertrauliche Speicherbereiche auslesen oder gar beliebigen Schadcode einschleusen.

Als Fazit ihrer Arbeit ziehen die Forscher den Schluss, dass AT-Befehle eine „beängstigende Anzahl uneingeschränkter Funktionen“ enthalten und somit auf Android-Geräten eine breite Angriffsfläche darstellen. Dass die Befehle schlecht oder gar nicht dokumentiert sind, hält – wie die Forscher eindrucksvoll zeigen – Angreifer nicht davon ab, sie auszunutzen. Die Sicherheitsforscher haben die betroffenen Hersteller vor der Veröffentlichung ihrer Ergebnisse über die Schwachstellen informiert; wie viele der Lücken geschlossen wurden, sagen sie allerdings nicht genau. In einem Fall wurde eine bereits vor Jahren an Samsung gemeldete und dann geschlossene Schwachstelle in einem neueren Smartphone der Firma erneut entdeckt.

2018-08-28T12:48:42+00:00