Neuer Man-in-the-Middle-Angriff namens DoubleDirect Attack, der Android- und iPhone-Nutzer ins Visier nimmt

Table Of Contents

• Neuer Man-in-the-Middle-Angriff namens DoubleDirect Attack, der Android- und iPhone-Nutzer ins Visier nimmt
• DoubleDirect
• Wie funktioniert DoubleDirect?
• Wer ist gefährdet?

Neuer Man-in-the-Middle-Angriff namens DoubleDirect Attack, der Android- und iPhone-Nutzer ins Visier nimmt

Forscher von Zimperium Mobile Security Labs haben entdeckt, dass Cyberkriminelle eine neue Methode des Man-in-the-Middle-Angriffs verwenden, um Android- und iPhone-Smartphone-Nutzer gezielt anzugreifen und dies mit großem Erfolg. Die Zimperium-Forscher haben diesen neuen Angriff als DoubleDirect Attack bezeichnet.

DoubleDirect

Die sogenannte DoubleDirect-Technik ermöglicht es einem Angreifer, den Datenverkehr eines Opfers auf das Gerät des Angreifers umzuleiten. Sobald umgeleitet, kann der Angreifer Anmeldeinformationen stehlen und schädliche Payloads auf das mobile Gerät des Opfers liefern, die nicht nur das Gerät schnell infizieren, sondern sich auch im Unternehmensnetzwerk ausbreiten können“, so die mobile Sicherheitsfirma Zimperium.

Zimperium hat auch festgestellt, dass die DoubleDirect-Technik gegen die Kunden von Top-Websites wie Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (Koreanisch) und anderen eingesetzt wurde. Zimperium sagt, dass die Angriffsmethode in mindestens 31 Ländern weltweit weit verbreitet ist, nämlich: Serbien • Australien • Irak • Kasachstan • Polen • Indonesien • Israel • Lettland • Finnland • Mexiko • Ägypten • Vereinigtes Königreich • Österreich • Kolumbien • Griechenland • Brasilien • Kanada • Frankreich • Algerien • Russische Föderation • Schweiz • Italien • Deutschland • Spanien • Saudi-Arabien • Niederlande • Indien • Malta • Bahrain • Vereinigte Staaten und China.

Die Zimperium-Forscher sagen, dass das Hauptmotiv der Cyberkriminellen, die den DoubleDirect-Angriff verwenden, darin besteht, die vertraulichen Informationen der Opfer, E-Mail-Adressen und Anmeldeinformationen, Bankinformationen und Anmeldeinformationen sowie andere Passwörter zu erlangen.

Wie funktioniert DoubleDirect?

Angreifer, die die DoubleDirect-Methode verwenden, nutzen ICMP-Redirect-Pakete (Typ 5), um die Routing-Tabellen eines Hosts zu ändern. Diese Methode wird legitim von Routern verwendet, um die Hosts im Netzwerk darüber zu informieren, dass ein besserer Weg für ein bestimmtes Ziel verfügbar ist. Im Fall des DoubleDirect-Angriffs verwendet der Angreifer jedoch ICMP-Redirect-Pakete, um die Routing-Tabellen auf dem Opfer-Host zu ändern, wodurch der Datenverkehr über einen beliebigen Netzwerkpfad für eine bestimmte IP fließt. Infolgedessen kann der Angreifer einen MITM-Angriff starten, indem er den Datenverkehr des Opfers auf sein Gerät umleitet. Sobald umgeleitet, kann der Angreifer das mobile Gerät kompromittieren, indem er den Angriff mit einer zusätzlichen Client-Seite-Schwachstelle (z. B.: Browser-Schwachstelle) verknüpft und dem Angreifer so Zugang zum Unternehmensnetzwerk verschafft.

Zimperium-Forscher fanden heraus, dass die Hacker im Fall des DoubleDirect-Angriffs eine zuvor unbekannte Implementierung verwenden, um volle Duplex-MITMs mit ICMP-Redirect zu erreichen. Traditionelle ICMP-Redirect-Angriffe haben Einschränkungen und sind bekannt dafür, halbduplex MITM zu sein.

Zimperium Mobile Security Labs hat die Bedrohungen untersucht und festgestellt, dass die Angreifer in der Lage sind, die IPs vorherzusagen, auf die das Opfer zugreift. Zimperium hat ein vollständiges Proof of Concept für den DoubleDirect-Angriff hochgeladen, das hier heruntergeladen werden kann.

Wer ist gefährdet?

iOS: Zimperium-Forscher stellten fest, dass der DoubleDirect-Angriff auf den neuesten Versionen von iOS, einschließlich iOS 8.1.1, funktioniert, sodass alle iPhones anfällig für diesen Angriff sind.

Android: Zimperium-Forscher gaben an, dass der DoubleDirect-Angriff auf den meisten Android-Geräten, einschließlich Nexus 5 mit dem neuesten Android-Betriebssystem 5.0 Lollipop, funktioniert.

Mac OS X Yosemite: Zimperium-Forscher sagen, dass Mac OS X Yosemite-Nutzer ebenfalls potenziell anfällig sind, während Windows- und Linux-Nutzer anscheinend immun sind, da sowohl Windows OS als auch Linux standardmäßig keine ICMP-Redirect-Pakete akzeptieren, die schädlichen Datenverkehr tragen.

Weder Google noch Apple haben bisher offiziell zu den Erkenntnissen der Zimperium-Forscher Stellung genommen.