DoubleDirect: Neue MitM-Attacke greift iOS, Android und Mac OS X an

Sicherheitsforscher haben offenbar eine neue Art von „Man-in-the-Middle“ (MitM) Attacke aufgedeckt, die unter dem Namen DoubleDirect iOS- und Android-Smartphones und Tablets ins Visier nimmt. DoubleDirect jubelt dem Nutzer einen Redirect unter, der den Traffic des Opfers auf Seiten wie Google, Facebook und Twitter auf eine vom Hacker eingestellte Seite umleitet. Dort können anschließend empfindliche Daten des Nutzers wie Login-Daten oder sogar Bankinformationen ausgelesen und Malware eingespielt werden.

Bildschirmfoto 2014-11-22 um 16.19.07

Die auf mobile Sicherheit spezialisierte Firma Zimperium aus San Francisco machte auf DoubleDirect aufmerksam und sagte, dass die Technik von Hackern bereits für Angriffe auf größere Anbieter wie Google, Facebook, Hotmail, Live.com und Twitter in über 31 Ländern (darunter auch Deutschland) genutzt wurde. Erst Freitag wurde bekannt, dass die Hacker-Gruppe „DerpTrolling“ ebenfalls Daten von unter anderem Facebook, Twitter und Live.com erhaschen konnte. Während DerpTrolling zwar laut eigenen Aussagen den Nutzern keinen Schaden zufügen möchte, sieht das ganze mit DoubleDirect etwas anders aus.

DoubleDirect nutzt ICMP (Internet Control Message Protocol) Umleitungspakete, um die Routing-Tabellen eines Hosts zu ändern. Diese werden von Routern verwendet, um der Maschine eine bessere Umleitung zu einer bestimmten Zielseite vorzugeben. Zimperium sagt außerdem, dass DoubleDirect nebst iOS und Android-Geräte auch Mac OS X-Nutzer ins Auge gefasst hat. Windows und Linux-Nutzer sind jedoch immun gegen die Angriffe, da die Betriebssysteme ICMP Umleitungspakete nicht akzeptieren.

Zimperium hat die Attacke intensiv getestet und kann bestätigen, dass sie unter iOS 8, inklusive iOS 8.1.1, das Anfang der Woche erschienen ist, sowie den meisten Android-Geräten mit Android 5.0 Lollipop funktioniert. Hierbei wird seitens Zimperium das Nexus 5 als Referenzgerät genannt. Auch die aktuellste Version von Mac OS X Yosemite ist anfällig für eine DoubleDirect-Attacke.

Unter Mac OS X könnt ihr ganz einfach herausfinden, ob euer System anfällig für eine DoubleDirect-Attacke ist. Hierzu öffnet Ihr euer Terminal und gebt folgenden Befehl ein:

sysctl net.inet.ip.redirect | grep „: 1“ && echo „DoubleDirect: VULNERABLE“ || echo „DoubleDirect: SAFE

Erhaltet Ihr die Nachricht „SAFE“, seid ihr erstmal auf der sicheren Seite. Erhaltet Ihr die Meldung „VULNERABLE“, solltet Ihr laut Zimperium folgenden Befehl hinterherschieben (Achtung, Ihr müsst zunächst via Befehl „sudo -i“ Root-Zugriff auf euren Mac freischalten):

sysctl -w net.inet.ip.redirect=0

Android-User mit einem gerooteten Gerät sollt Ihr laut Zimperium den folgenden Befehl (via Terminal-Emulator) eingeben:

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Eine Lösung für iOS-Nutzer steht aktuell nicht zur Verfügung. Bleibt zu hoffen, dass die Sicherheitslücke spätestens mit dem nächsten 8.1.x Update gefixt wird.

Update: Da sich der oben genannte Fix für Mac OS X leider als nicht-permanent herausstellt, solltet Ihr die nachfolgende Alternative ausprobieren, auf die uns therealmarv in den Kommentaren hinwies (vielen Dank dafür!):

Damit der Fix in OS X 10.10.1 dauerhaft bleibt: Mit Root Zugriff (sudo -i) und einen Editor die Datei /etc/sysctl.conf erstellen. Beispiel mit dem einfachen nano editor: “nano /etc/sysctl.conf” und in diese Datei die Zeile “net.inet.ip.redirect=0? (natürlich alles ohne Anführungszeichen). Dann einmal neustarten und nochmal checken ob man anfällig ist. Außerdem ist der Fix nur auf IPv4 beschränkt. Man sollte zur völligen Sicherheit sich mal FreeBSD Konfigurationen raussuchen und folgende drei Zeilen in die sysctl.conf eingeben, die echt nicht gut konfiguriert sind in OS X:

net.inet.icmp.drop_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0

(Quelle: Zimperium via The Hacker News)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

23 Kommentare

  1. Sparbrötchen says:

    Durch die typographischen Anführungszeichen funktioniert das nicht:
    (hoffe das Kommentarsystem schluckt das)

    sysctl net.inet.ip.redirect | grep „: 1“ && echo „DoubleDirect: VULNERABLE“ || echo „DoubleDirect: SAFE“

  2. Sparbrötchen says:

    Geht nicht auch nicht 😉 Also muß jeder selber aus den „“ normale Anführungszeichen machen

  3. Bin ich als Normaluser gefährdet. Bemerke ich so einen Angriff. Wie kann ich mich schützen mit Samsung Galaxy mit Android 4 bis 5 ?

  4. Was genau bewirken die oben angegebenen Befehle den?
    Nicht dass eben genau erst die Leuten von außen den Zugriff erlauben …
    Aus den Code Zeilen an sich kann ich als Normal Nutzer nämlich nichts schließen!

  5. Zugriffe auf Google, Facebook & Co. sind doch mittlerweile SSL verschlüsselt. Wie können dann Daten abgefangen werden?

    Für alles unverschlüsselte natürlich eine fiese Sache.

  6. Sparbrötchen says:

    @Hans
    Das ist eine uralte Geschichte.

    http://www.cymru.com/Documents/ip-stack-tuning.html
    3. Redirects
    A miscreant can use IP redirects to modify the routing table on a remote host. In a well-designed network, redirects to the end stations should not be required. Both the sending and accepting of redirects should be disabled.

  7. @Sparbrötchen
    Vielen Dank für die Ärklärung 🙂

  8. #DoubleDirect: “Man-in-the-Middle” (#MitM) Attacke greift #iOS- & #Android & #MacOS_X an – #Linux & Windows seltsamerweise nicht. „.., da die Betriebssysteme keine ICMP Umleitungspakete nicht akzeptieren.“ Gut recherchiert, bis auf diesen kleinen Verschreiber, den man nach einem Hinweis, durchaus mal korigieren könnte, informativer Artikel.

    Danke dafür Pascal!

  9. Gerade im Terminal getestet, bei mir erscheint unter Yosemite 10.10.1 : “DoubleDirect: SAFE

    lässt sich das irgendwie auch bei nicht gerooteten Smartphones und Tablets testen? Meine sind zwecks Garantie noch nicht gerootet.

  10. Ist die Android Zeile ein Test oder ein Fix?
    BBei mir kommt Permission denied. Terminal hat nicht nach Superuser gefragt. Hab auch vorher nicht su eingegeben.

  11. Yosemite 10.10.1 – Betroffen. Und behoben^^

  12. hier der richtige Befehl, ohne die speziellen Anführungszeichen aus dem Artikel.

    sysctl net.inet.ip.redirect | grep ‚: 1‘ && echo ‚DoubleDirect: VULNERABLE‘ || echo ‚DoubleDirect: SAFE‘

  13. @Cris
    Quasi ein Fix… es steht default eine 1 drin, da wird eben nun eine 0 in besagte Datei geschrieben. (musst vorher per su root Rechte anfordern)

  14. Das ist ja wohl ein Witz. Diese sogenannte Gegenmaßnahme in OS X greift nur bis zum nächsten Systemneustart. Sobald man das System einmal neugestartet hat ist diese Lücke wieder da!

  15. Damit der Fix in OS X 10.10.1 dauerhaft bleibt: Mit root Zugriff (sudo -i) und einen Editor die Datei /etc/sysctl.conf erstellen. Beispiel mit dem einfachen nano editor: „nano /etc/sysctl.conf“ und in diese Datei die Zeile „net.inet.ip.redirect=0“ (natürlich alles ohne Anführungszeichen). Dann einmal neustarten und nochmal checken ob man anfällig ist.

  16. Außerdem ist der Fix nur auf IPv4 beschränkt. Man sollte zur völligen Sicherheit sich mal FreeBSD Konfigurationen raussuchen (am meisten mit OS X Gemeinsam und s. @Sparbrötchen oben) und folgende drei Zeilen in die sysctl.conf rein tuen die echt nicht gut konfiguriert sind in OS X:
    net.inet.icmp.drop_redirect=1
    net.inet.ip.redirect=0
    net.inet6.ip6.redirect=0

  17. Sind nur Smartphones betroffen oder auch Windows PCs?

  18. Frage: Für den MitM muss etwas okkupiert sein, oder? Sind Router oder gar die Server der genanten Dienste korrumpiert. Oder wird an (wie auch immer) identifizierte IP Adressen des Anwenders ICMP Pakete geschickt? Sollte das mein Router nicht eh blocken?

  19. @bat,
    Windows-PCs, Windows RT und Windows Phone Smartphones sind von dieser Lücke nicht betroffen. Da sie diesen Protocol nicht unterstützen.

  20. Auf meinem SGS4 funktioniert die Abfrage nicht:

    sysctl net.inet.ip.redirect
    sysctl: error: ’net.inet.ip.redirect‘ is an unknown key

    stattdessen:
    cat /proc/sys/net/ipv4/conf/all/accept_redirects
    1

    Also verwundbar, und das mit cyanogenmod 11.2 🙁

    Ausschalten dann wie oben angegeben…

    root@jfltexx:/ # echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    root@jfltexx:/ # cat /proc/sys/net/ipv4/conf/all/accept_redirects
    0

  21. @Chris: Danke.

  22. Liebe User,

    bitte lasst die Finger von der ICMP-Redirect Konfiguration.
    Wenn der Angreifer bereits bei euch im Netzwerk ist, hilft auch kein Deaktivieren von ICMP-Requests mehr, dann könnte er z.B. direkt den Traffic eures Routers umbiegen.

    Auf der anderen Seite sind ICMP-Redirects ein wirklich nützliches und sinnvolles Feature um bei komplexen Routing-Konfigurationen (z.B. in Firmennetzen) Traffic zu sparen.

    Viele Grüße,
    Tobias