Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben

2020 | Buch

Einführung Kapitel lesen Erstes Kapitel lesen

Mobile Security

Schwachstellen verstehen und Angriffsszenarien nachvollziehen

verfasst von: Dirk Westhoff

Verlag: Springer Berlin Heidelberg

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Einloggen, um Zugang zu erhalten
insite
SUCHEN

Über dieses Buch

Das Buch bietet eine fundierte Einführung in die Chronologie bekannter Angriffe und Verwundbarkeiten auf mobile Systeme und dessen konzeptionelle Einordnung der letzten zwei Dekaden. So erhält der Leser einen einmaligen Überblick über die Vielfältigkeit nachweisbar ausgenutzter Angriffsvektoren auf verschiedenste Komponenten mobiler drahtloser Geräte sowie den teilweise inhärent sicherheitskritischen Aktivitäten moderner mobiler OS. Eine für Laien wie Sicherheitsarchitekten gleichermaßen fesselnde Lektüre, die das Vertrauen in sichere mobile Systeme stark einschränken dürfte.

Inhaltsverzeichnis

Frontmatter
Kapitel 1. Einführung
Zusammenfassung
Es ist wohlbekannt, dass mobile eingebettete Geräte schon jetzt in ihrer Anzahl einen signifikanten und in ihrer wirtschaftlichen Bedeutung höchst relevanten Anteil an der heutigen Netzlandschaft darstellen. Beispielsweise spielen CPUs für Laptops und PCs im Mikroprozessormarkt zahlenmäßig mit etwa 1 % nur eine geringe Rolle, während der Anteil eingebetteter Prozessoren bei weit über 90 % liegt. Dies gilt insbesondere für Deutschland, da hier neben der stark anwachsenden Anzahl mobiler digitaler Geräte für den Consumer-Bereich (Smartphone, Tablet, Smartwatch) einer vergleichsweise schwach ausgeprägten PC-Industrie auch Schlüsselindustrien wie Maschinenbau, Automobil oder Medizintechnik gegenüberstehen, bei denen eingebettete Geräte von zentraler Bedeutung sind.
Dirk Westhoff

Grundlagen

Frontmatter
Kapitel 2. Wissenswertes zu Netzen, sowie mathematische und kryptografische Hintergründe
Zusammenfassung
Für ein besseres Verständnis bei der Analyse von Schwachstellen mobiler Systeme, aber auch um einzelne Angriffsszenarien besser nachvollziehen zu können, ist es ratsam sich mit ausgewählten Themen der Kryptografie, einigen zahlentheoretischen Aspekten, aber auch fundamentalen Aspekten zu Netzwerken und Protokollverhalten vertraut zu machen bzw. sich diese noch einmal zu vergegenwärtigen. Dabei sollen die Themen so knapp wie möglich jedoch so umfassend wie nötig aufbereitet werden.
Dirk Westhoff

Verwundbarkeiten drahtloser Kommunikationssysteme

Frontmatter
Kapitel 3. Verwundbarkeiten in drahtlosen lokalen Netzen
Zusammenfassung
Wir beginnen damit, welche Möglichkeiten der Manipulierbarkeit von Daten es auf den untersten Übertragungsschichten des ISO/OSI-Stacks gibt. Hierzu ist es jedoch erforderlich, sich erst einmal den prinzipiellen Abläufen zu widmen ohne dass ein Angreifer das System korrumpieren wollte. Der einzige widrige externe Einfluss ist damit die Beschaffenheit des gemeinsamen Übertragungsmediums, welches im Falle von Luft doch relativ störbehaftet ist.
Dirk Westhoff
Kapitel 4. Verwundbarkeiten in Personal Area Networks
Zusammenfassung
Wenn sich nach fast zwei Jahrzehnten der Sicherheitsanalysen auf WLAN verschiedensten WLAN-Generationen noch immer schwerwiegende Verwundbarkeiten aufzeigen lassen, überrascht es den Leser vermutlich nicht, dass Bluetooth mit ähnlichen und teilweise noch drastischeren Angriffsarten zu kämpfen hat. So ist es in diesem Zusammenhang erwähnenswert, dass der WLAN-Standard aus 450 Seiten Spezifikation besteht, während der aktuelle Bluetooth-Standard mittlerweile auf 2882 Seiten Spezifikation angewachsen ist. Sicherlich besteht ein nicht unerheblicher Zusammenhang zwischen der Anzahl der Sonderfälle, Features und Gadgets eines IT-Produktes und dem daraus resultierenden wachsenden Spezifikationsumfang sowie der für die Umsetzung erforderlichen und lines-of-code der Anzahl an Bugs, die sich daraufhin in die Umsetzung einnisten.
Dirk Westhoff
Kapitel 5. Verwundbarkeiten innerhalb der Mobiltelefonie
Zusammenfassung
Verwundbarkeiten innerhalb der Mobiltelefonie haben eine lange Tradition und es kann sicherlich nicht der Anspruch eines allgemein gehaltenen Buches zu Mobile Security sein, diese auch nur annährend vollständig und erschöpfend zu diskutieren. Es ist daher unser Bestreben, hier recht neue Entwicklungen aufzuzeigen, die mit der Verwendung von Smartphones für zellularen Mobilfunk Eingang in die lange Liste der Verwundbarkeiten von mobilen Systemen gefunden haben. Gleichzeitig wollen wir an dieser Stelle eine Erörterung der Sicherheitsarchitektur des 5G-Standards wagen, auch wenn diese in gewisser Weise eher spekulativ ist und vermutlich besser mit dem Begriff der Bedarfsanalyse zu umschreiben wäre.
Dirk Westhoff
Kapitel 6. Klassifizierung und Risikoabschätzung
Zusammenfassung
Die Analysen der einzelnen Verwundbarkeiten verschiedener Protokolle für eine gesicherte Drahtloskommunikation der vorangegangenen Abschnitte offenbaren, dass es so gut wie in jeder Phase der Entwicklung einer IT-System-Komponente zu Fehlern kommen kann, die zu einem späteren Zeitpunkt in einen konkreten Angriff münden können. So hat sich herausgestellt, dass einige Verwundbarkeiten aufgrund von fehlerhaften Spezifikationsdokumenten entstehen oder aber durch Spezifikationen, deren Ausformulierungen nicht präzise genug sind. Andere Schwachstellen und Verwundbarkeiten hingegen resultieren aus Implementierungsfehlern, zum Teil weil Funktionsaufrufe zum Allokieren von Speicherplatz veraltet sind und bei einer unsachgemäßen Wahl der Parameter zu Pufferüberläufen führen können. Oder aber, weil innerhalb der Implementierung durch den jeweiligen Programmierer die Ausgestaltung von Wertezuweisungen fahrlässig umgesetzt worden ist.
Dirk Westhoff

Softwarekomponenten mobiler digitaler Geräte

Frontmatter
Kapitel 7. Das Betriebssystem Android
Zusammenfassung
In der Tat wäre es wünschenswert, verschiedene mobile Betriebssysteme hinsichtlich ihrer Sicherheitskomponenten vorzustellen und zu vergleichen. Dies sprengt allerdings ab einem gewissen Detaillierungsgrad auch den Umfang eines Buches. So dient uns in diesem Buchteil das mobile Betriebssystem Android als Referenzsystem, wohlwissend, dass es mit iOS und, nicht zu vergessen, dem im Spätsommer 2019 erstmalig verfügbaren Betriebssystem Harmony OS von Huawei weitere mobile Betriebssysteme gibt, die durchaus eine ausführlichere Betrachtung wert wären.
Dirk Westhoff
Kapitel 8. Umsetzung sicherheitskritischer Anwendungen
Zusammenfassung
In den vorangehenden Abschnitten haben wir einige grundsätzliche Dinge über das Rechtemodell von Android erfahren, und uns mit der Problematik der horizontalen Rechteausweitung zwischen Apps vertraut gemacht. Nun wollen wir eine Klasse von Smartphone-Anwendungen ein wenig detaillierter betrachten, für die die Notwendigkeit einer sicheren Umsetzung und passgenauen Ausgestaltung für jedermann offensichtlich ist: mobile Banking-Verfahren auf der Grundlage von Apps. Mobiles Banking, also das Ausführen von Bankgeschäften mithilfe eines Mobiltelefons oder PDAs, erfreut sich einer wachsenden Beliebtheit.
Dirk Westhoff
Kapitel 9. Techniken des Zertifikats-Pinning
Zusammenfassung
Im Rahmen seiner Masterarbeit an der Hochschule Offenburg im Studiengang Enterprise and IT-Security (ENITS) ist Ulrich Winterer [5] der Frage nachgegangen, welche gängigen Varianten einer Implementierung von Zertifikats-Pinning existieren und welche Techniken es zum Aufbrechen dieser gibt bzw. inwieweit weitere Maßnahmen gegen das Aufbrechen von Zertifikats-Pinning umsetzbar sind. In seinen Untersuchungen geht er von dem mobilen Betriebssystem Android 7 oder aktuelleren Versionen aus. Einige der wesentlichen Ergebnisse seiner Ausarbeitung sollen nun vorgestellt werden.
Dirk Westhoff
Kapitel 10. Obfuskierung und Deobfuskiereung
Zusammenfassung
Das Erstellen manipulationssicherer mobiler Anwendungen wie der im vorhergehenden Abschnitt beschriebenen Banking-Apps wird noch dadurch erschwert, dass mittlerweile ein ganzes Arsenal an Analysewerkzeugen zum Reverse Engineering von Apps verfügbar ist. Beim Reversing von Android-Applikationen möchte man – ausgehend von dem auf dem mobilen Gerät zwangsläufig verfügbaren ausführbaren Code – möglichst genaue Schlüsse auf die Beschaffenheit des Quellcodes einer App ziehen. So kann es wahlweise einen Sicherheitsexperten oder aber Angreifer interessieren, ob und wenn ja welche IP-Adressen bzw. URI Daten die App verlassen oder inwieweit sensible Informationen wie Schlüsselmaterial fest im Quellcode der App kodiert sind.
Dirk Westhoff
Kapitel 11. QR-Codes, Web-Apps und der Air-Gap
Zusammenfassung
Immer dann, wenn Apps im Wesentlichen ohne Interaktion mit dem Nutzer über einen Link oder genauer einen Uniform Resource Locator (URL), eine Verbindung zu einem entfernten Server erzeugen, besteht ein Sicherheitsrisiko. Der Nutzer könnte Opfer eines Drive-by-download-Angriffs werden. Schon durch das Aufrufen einer mit aktiven Inhalten wie JavaScript angereicherten Webseite kann das Gerät mit Schadcode infiziert werden.
Dirk Westhoff
Kapitel 12. Positionsbestimmung und Standortverfolgung
Zusammenfassung
Was, wenn das mobile Betriebssystem selbst über Funktionalitäten verfügt, die wohl für die meisten seiner Nutzer weitgehend verborgen und unbekannt sind? Uns interessieren insbesondere solche Aktivitäten, die moderne mobile Betriebssysteme wie Android, aber auch iOS permanent sozusagen hinter unserem Rücken durchführen. Denn durch die Nutzung eines mobilen digitalen Gerätes mit verschiedensten verbauten drahtlosen Übertragungstechnologien sind unsere Nutzerstandorte, aber auch die Standorte von Basisstationen und Access-Points näherungsweise nachvollziehbar.
Dirk Westhoff

Fazit und Ausblick

Frontmatter
Kapitel 13. Nicht technische Ursachenforschung
Zusammenfassung
Jenseits aller Risikoabschätzungen der aufgezeigten Verwundbarkeiten verschiedener drahtloser Kommunikationsprotokolle und mobiler Betriebssysteme ist es zum Ende dieses Buches vermutlich hilfreich, sich auf die Spurensuche nach den übergeordneten Gründen für die von den Sicherheitsforschern identifizierten Schwachstellen und Verwundbarkeiten zu begeben. Wir wollen also nach der in diesem Buch betriebenen Bestandsaufnahme ein wenig Ursachenforschung betreiben. Meiner Ansicht nach sind die Gründe für die aufgezeigten teilweise haarsträubenden Sicherheitslücken tatsächlich nicht immer nur technischer Natur.
Dirk Westhoff
Kapitel 14. Ausblick mit Blick auf den Leser
Zusammenfassung
Zum Ausklang dieses Buches fällt es mir schwer ein Resümee zu ziehen. Das erklärte Ziel war es dem Leser eine fundierte Einführung in die Chronologie bekannter Angriffe und Verwundbarkeiten auf mobile Systeme und dessen konzeptionelle Einordnung zu bieten. Der Leser sollte einen Überblick über die Vielfältigkeit nachweisbar ausgenutzter Angriffsvektoren auf verschiedenste Komponenten mobiler drahtloser Geräte sowie den teilweise inhärent sicherheitskritischen Aktivitäten moderner mobiler OS erhalten. Inwieweit dieser Überblick über die letzten zwei Dekaden mir tatsächlich gelungen ist können sie lieber Leser letztendlich nur selber entscheiden.
Dirk Westhoff
Metadaten
Titel
Mobile Security
verfasst von
Dirk Westhoff
Copyright-Jahr
2020
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-60855-5
Print ISBN
978-3-662-60854-8
DOI
https://doi.org/10.1007/978-3-662-60855-5