DoubleDirect: Neue MitM-Attacke greift iOS, Android und Mac OS X an

Sicherheitsforscher haben offenbar eine neue Art von „Man-in-the-Middle“ (MitM) Attacke aufgedeckt, die unter dem Namen DoubleDirect iOS- und Android-Smartphones und Tablets ins Visier nimmt. DoubleDirect jubelt dem Nutzer einen Redirect unter, der den Traffic des Opfers auf Seiten wie Google, Facebook und Twitter auf eine vom Hacker eingestellte Seite umleitet. Dort können anschließend empfindliche Daten des Nutzers wie Login-Daten oder sogar Bankinformationen ausgelesen und Malware eingespielt werden.

Bildschirmfoto 2014-11-22 um 16.19.07

Die auf mobile Sicherheit spezialisierte Firma Zimperium aus San Francisco machte auf DoubleDirect aufmerksam und sagte, dass die Technik von Hackern bereits für Angriffe auf größere Anbieter wie Google, Facebook, Hotmail, Live.com und Twitter in über 31 Ländern (darunter auch Deutschland) genutzt wurde. Erst Freitag wurde bekannt, dass die Hacker-Gruppe „DerpTrolling“ ebenfalls Daten von unter anderem Facebook, Twitter und Live.com erhaschen konnte. Während DerpTrolling zwar laut eigenen Aussagen den Nutzern keinen Schaden zufügen möchte, sieht das ganze mit DoubleDirect etwas anders aus.

DoubleDirect nutzt ICMP (Internet Control Message Protocol) Umleitungspakete, um die Routing-Tabellen eines Hosts zu ändern. Diese werden von Routern verwendet, um der Maschine eine bessere Umleitung zu einer bestimmten Zielseite vorzugeben. Zimperium sagt außerdem, dass DoubleDirect nebst iOS und Android-Geräte auch Mac OS X-Nutzer ins Auge gefasst hat. Windows und Linux-Nutzer sind jedoch immun gegen die Angriffe, da die Betriebssysteme ICMP Umleitungspakete nicht akzeptieren.

Zimperium hat die Attacke intensiv getestet und kann bestätigen, dass sie unter iOS 8, inklusive iOS 8.1.1, das Anfang der Woche erschienen ist, sowie den meisten Android-Geräten mit Android 5.0 Lollipop funktioniert. Hierbei wird seitens Zimperium das Nexus 5 als Referenzgerät genannt. Auch die aktuellste Version von Mac OS X Yosemite ist anfällig für eine DoubleDirect-Attacke.

Unter Mac OS X könnt ihr ganz einfach herausfinden, ob euer System anfällig für eine DoubleDirect-Attacke ist. Hierzu öffnet Ihr euer Terminal und gebt folgenden Befehl ein:

sysctl net.inet.ip.redirect | grep „: 1“ && echo „DoubleDirect: VULNERABLE“ || echo „DoubleDirect: SAFE

Erhaltet Ihr die Nachricht „SAFE“, seid ihr erstmal auf der sicheren Seite. Erhaltet Ihr die Meldung „VULNERABLE“, solltet Ihr laut Zimperium folgenden Befehl hinterherschieben (Achtung, Ihr müsst zunächst via Befehl „sudo -i“ Root-Zugriff auf euren Mac freischalten):

sysctl -w net.inet.ip.redirect=0

Android-User mit einem gerooteten Gerät sollt Ihr laut Zimperium den folgenden Befehl (via Terminal-Emulator) eingeben:

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Eine Lösung für iOS-Nutzer steht aktuell nicht zur Verfügung. Bleibt zu hoffen, dass die Sicherheitslücke spätestens mit dem nächsten 8.1.x Update gefixt wird.

Update: Da sich der oben genannte Fix für Mac OS X leider als nicht-permanent herausstellt, solltet Ihr die nachfolgende Alternative ausprobieren, auf die uns therealmarv in den Kommentaren hinwies (vielen Dank dafür!):

Damit der Fix in OS X 10.10.1 dauerhaft bleibt: Mit Root Zugriff (sudo -i) und einen Editor die Datei /etc/sysctl.conf erstellen. Beispiel mit dem einfachen nano editor: “nano /etc/sysctl.conf” und in diese Datei die Zeile “net.inet.ip.redirect=0? (natürlich alles ohne Anführungszeichen). Dann einmal neustarten und nochmal checken ob man anfällig ist. Außerdem ist der Fix nur auf IPv4 beschränkt. Man sollte zur völligen Sicherheit sich mal FreeBSD Konfigurationen raussuchen und folgende drei Zeilen in die sysctl.conf eingeben, die echt nicht gut konfiguriert sind in OS X:

net.inet.icmp.drop_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0

(Quelle: Zimperium via The Hacker News)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. @Chris: Danke.

  2. Liebe User,

    bitte lasst die Finger von der ICMP-Redirect Konfiguration.
    Wenn der Angreifer bereits bei euch im Netzwerk ist, hilft auch kein Deaktivieren von ICMP-Requests mehr, dann könnte er z.B. direkt den Traffic eures Routers umbiegen.

    Auf der anderen Seite sind ICMP-Redirects ein wirklich nützliches und sinnvolles Feature um bei komplexen Routing-Konfigurationen (z.B. in Firmennetzen) Traffic zu sparen.

    Viele Grüße,
    Tobias

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.