Androids Same-Origin-Policy (SOP) Exploit ermöglicht Hackern, Ihre Facebook-Konten zu übernehmen

Table Of Contents

• Android Same Origin Policy (SOP) Exploit wird verwendet, um Facebook-Konten zu übernehmen
• Der Fehler

Android Same Origin Policy (SOP) Exploit wird verwendet, um Facebook-Konten zu übernehmen

Ein veralteter Fehler in der Android Same Origin Policy (SOP), entdeckt von dem pakistanischen Forscher Rafay Baloch, wird laut neuer Forschung von TrendMicro Labs viel häufiger verwendet. Der Trend-Micro-Forscher Simon Huang sagt, dass sie viele Fälle von Facebook-Nutzern entdeckt haben, die Ziel von Angriffen sind, die diesen Fehler im Webbrowser des Android-Betriebssystems unter 4.4 ausnutzen, da der Metasploit-Code öffentlich verfügbar ist und viele Android-Hersteller diesen Fehler noch nicht behoben haben.

Der Fehler

Der von Rafay Baloch entdeckte Fehler ermöglicht eine universelle Cross-Scripting-Schwachstelle in älteren Versionen von Android-Smartphones. Diese Schwachstelle, die die WebView-Komponente betrifft, tritt auf, wenn das ‘data’-Attribut eines bestimmten HTML-Objekts mit einem JavaScript-URL-Schema ersetzt wird. Ein Angreifer kann die UXSS-Schwachstelle nutzen, um Cookie-Daten und Seiteninhalte aus einem anfälligen Browserfenster zu extrahieren. Das Sicherheitsloch kann in allen Versionen des Android Open Source Platform (AOSP) Browsers ausgenutzt werden, einschließlich derjenigen, die WebView verwenden.

Rapid7 hat den Metasploit-Code (Link oben angegeben) für diesen Fehler veröffentlicht, und dieser wird von Angreifern öffentlich verwendet, um den Opfern eine bösartige JavaScript-Datei zu servieren, die in einem Cloud-Speicherkonto gespeichert ist. Dies geschieht, indem das Ziel auf eine bestimmte Facebook-Seite verwiesen wird, die zu einem bösartigen Standort führt. Der Trend-Forscher Huang sagt, dass die Seite obfuskierten JavaScript-Code enthält, der versucht, eine Facebook-URL in einem inneren Frame zu laden.

Das Opfer sieht jedoch nur eine leere Seite, die gemäß den von dem Angreifer in HTML festgelegten div-Tags geladen wird, während der innere Frame in einem Pixel angezeigt wird.

Huang sagt, dass der Angreifer mit der Malware fast alles mit dem Facebook-Konto des Opfers tun kann. Der JavaScript-Code kann folgende Aktivitäten mit dem Facebook-Konto der Opfer durchführen:

• Freunde hinzufügen
• Facebook-Seiten liken und folgen
• Abonnements ändern
• Eine Facebook-App autorisieren, um auf das öffentliche Profil, die Freundesliste, die Geburtsdaten, die Likes und die Likes der Freunde des Nutzers zuzugreifen
• Die Zugriffstoken des Opfers stehlen und sie auf ihren Server hochladen unter https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
• Analysedaten sammeln (wie den Standort der Opfer, HTTP-Referrer usw.) mit dem legitimen Dienst unter https://whos.{BLOCKED}ung.us/pingjs/
• Neben dem Code auf der oben genannten Seite fand Trend einen ähnlichen Angriff unter https://www.{BLOCKED}php.com/x/toplu.php. Die Trend-Forscher glauben, dass beide von demselben Autor erstellt wurden, da sie mehrere Funktionsnamen sowie die client_id der Facebook-App teilen.

Trend Micro-Forscher fanden heraus, dass die client_id, die an dieser Malware beteiligt war, „2254487659“ war. Dies ist eine offizielle BlackBerry-App, die von BlackBerry verwaltet wird.

Trend Micro kontaktierte dann BlackBerry bezüglich ihrer Erkenntnisse. Sie informierten BlackBerry, dass die Angreifer das Vertrauen in den Namen BlackBerry nutzen wollten und die Malware versuchte, die Zugriffstoken der Nutzer zu stehlen, die verwendet werden könnten, um Anfragen an die Facebook-APIs zu stellen und Informationen des Nutzers zu lesen oder Inhalte im Namen des Opfers auf Facebook zu veröffentlichen. BlackBerry gab nach dem Kontakt mit Trend diese Erklärung ab:

„Die mobile Malware, die den Android SOP Exploit (Android Same Origin Policy Bypass Exploit) verwendet, ist darauf ausgelegt, Facebook-Nutzer unabhängig von ihrer mobilen Geräteplattform anzugreifen. Sie versucht jedoch, den vertrauenswürdigen Markennamen BlackBerry auszunutzen, indem sie unsere Facebook-Webanwendung verwendet. BlackBerry arbeitet kontinuierlich mit Trend Micro und Facebook zusammen, um diesen Angriff zu erkennen und zu mildern. Beachten Sie, dass das Problem nicht das Ergebnis eines Exploits von BlackBerrys Hardware, Software oder Netzwerk ist.“

Im Moment arbeiten Trend Micro, Facebook und BlackBerry zusammen, um den Angriff zu erkennen und zu verhindern, dass er gegen neue Nutzer durchgeführt wird.

Der Android SOP-Fehler ist seit September 2014 bekannt, und alle Android-Geräte bis Android 4.4 KitKat sind anfällig für diesen Fehler. Es gibt Millionen von Android-Smartphones, die auf älteren Versionen des Android-Betriebssystems laufen, die verwendet werden können, um diesen Fehler auszunutzen und illegale Aktivitäten von Cyberkriminellen durchzuführen. Die meisten günstigen Smartphones laufen auf älteren Versionen von Android, was den Cyberkriminellen die Arbeit erheblich erleichtert. Wenn Sie ein Android-Smartphone-Besitzer sind, aktualisieren Sie Ihr Smartphone so schnell wie möglich auf das neueste Android 5.1 Lollipop. Wenn Sie immer noch ein Smartphone verwenden, das auf der veralteten Version von Android läuft, ist jetzt der Zeitpunkt, es abzulehnen.