Des Achilles Ferse in meinem Smartphone

Haben Sie schon von der Qualcomm Vulnerability «Achilles» gehört? An der Defcon 2020 haben die Sicherheitsforscher von Check Point ihre Entdeckung, welche sie «Achilles» getauft haben, vorgestellt. Check Point Research (cp<r>) hat über 400 Bugs und damit 6 Vulnerabilities im digitalen Signalprozessor (DSP) Snapdragon von Qualcomm gefunden. Dieser Chip ist einer der weitverbreitetsten Mobile Phone Chips. Gemäss Check Point beträgt der Marktanteil dieses Chips 36% des Mobile Phone Marktes. Unter anderen setzen Samsung, Google, LG, Xiaomi diesen Chip in ihren High-End Mobile Phones ein. Die Vulnerabilities werden als kritischer Nährboden für entsprechende Exploits eingestuft. Es soll praktisch alles was das Hacker Herz begehrt damit angestellt werden können:

1. 1. Bricken, also zerstören. Das würde von Akteuren angewandt, welche Vandalismus als Motivation haben. Ein Factory Reset würde das beheben. Ohne Backup wären dann die Daten verloren.
   2. Als Wanze benutzen und über Mikrofon, Kamera, SMS und Mailclient die Opfer ausspionieren und damit in der Reconnaissance Phase von Lockheed Martins Cyber Kill Chain missbrauchen.
   3. Als Bot in einem Botnetz benutzen für Spam, Proxy, Jumphost, P2P, Ddos, Ransom usw.

Gemäss cp<r> können die Schwachstellen von Programmen ausgenützt werden, welche auf diesen DSP zugreifen. Man muss sich also eine App installieren, welche die Schwachstellen ausnützt. In the wild hat man solche Angriffe notabene noch nicht gesehen. Ein Drive-by Angriff über einen Link oder ein File soll gemäss den Sicherheitsforschern nicht möglich sein.

Offenbar hat Qualcomm die Lücken bereits schliessen können. Bis das aber auf den Smartphones ankommt, wird es lange dauern, sofern die Hersteller überhaupt gewillt sind, einen Patch für alle Smartphones zu liefern. Das Problem ist, dass das OS und alle Apps neu kompiliert werden müssen, wenn Qualcomm etwas am Code ihres DSP ändert. Das wird wohl leider die grosse Schwierigkeit sein und vermutlich nur für die neusten Mobile Phones umgesetzt werden.

Die 6 CVE’s sind vorläufig erst reserviert, da Check Point die Details zu diesen Schwachstellen nicht mit der breiten Öffentlichkeit, sondern nur mit den entsprechenden Stakeholdern teilen möchte.

Eine kurze Recherche zu meinem Mobiltelefon zeigt, dass Samsung in Europa offenbar eigene Exynos Chips verbaut. Ich stosse dann bei meiner Recherche auch noch darauf, dass diese offenbar langsamer sein sollen als die Qualcomm Chips und dass deswegen sogar eine Petition gestartet wurde. Nun, das wollte ich gar nicht wissen. Was ich aber wissen will, ob dieser Chip wirklich nicht in meinem Smartphone verbaut wurde. Mit Bordmitteln finde ich nicht heraus, welcher Chip verbaut wurde. Also installiere ich CPU-Z, eine harmlos wirkende App mit guter Reputation. Im Hinterkopf rattert es: «Installier ich mir jetzt vielleicht gerade einen Exploit für Achilles?». Nun gut die App scheint vertrauenswürdig. Und bescheinigt mir den Exynos Chip. Nochmals Glück gehabt.

Wie so oft hilft gesunder Menschenverstand (GMV). Wieso soll eigentlich ein Gratisspiel auf meine Kontakte oder Kamera zugreifen können? Also was kann man tun?

• • Kritische Haltung gegenüber Apps, welche exzessiv Rechte einfordern
  • Apps nur aus den offiziellen Stores verwenden
  • Keine APK’s aus dubiosen Quellen installieren
  • Phone nicht rooten
  • Antivirus bzw. Cyberschutz – darüber kann man sich streiten

Check Point wäre nicht Check Point, wenn sie nicht selber etwas gegen Achilles in der Hand hätten. Als Achilles neu entdeckt wurde, brüstete sich Check Point natürlich damit, dass Sandblast Mobile die einzige App sei, welche vor Achilles schützen konnte. Diesen Alleinanspruch konnte ich, als ich die Homepage des Herstellers kürzlich besucht habe, aber nicht mehr finden. Es ist anzunehmen, dass andere in der Zwischenzeit aufgeholt haben.

Check Point grast generell diverse Stores per App Scraper ab und prüft die Apps bei sich in ihrer Behavioral Risk Engine (BRE). Diese BRE wendet verschiedene Techniken an. Unter anderem wird Sandboxing, statische Code Analyse, Anomaly Detection und App Reputation angewandt. Das Marketing des Herstellers bemüht dann auch noch die Buzzwords «machine learning» und «AI». Na ja, jedenfalls werden die Apps auf Herz und Nieren geprüft und erhalten dann einen Score nach Behaviour und Reputation. Im Sandblast Mobile Dashboard kann per Policy entschieden werden, welche Apps erlaubt werden und welche nicht.

Aber was passiert, wenn eine App noch nicht bekannt ist? In diesem Fall wird dieses in die BRE hochgeladen und dort geprüft. Es kann dann gut mehrere Stunden dauern, bis das Verdikt klar ist. Sobald der Score ermittelt wurde, kann die App gemäss definierter Policy geblockt oder erlaubt werden.

research.checkpoint.com/

blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/

www.checkpoint.com/products/mobile-security/

www.cpuid.com/softwares/cpu-z-android.html

www.avantec.ch/loesungen/check-point/sandblast/