DoubleDirect: Neue MitM-Attacke greift iOS, Android und Mac OS X an
Sicherheitsforscher haben offenbar eine neue Art von „Man-in-the-Middle“ (MitM) Attacke aufgedeckt, die unter dem Namen DoubleDirect iOS- und Android-Smartphones und Tablets ins Visier nimmt. DoubleDirect jubelt dem Nutzer einen Redirect unter, der den Traffic des Opfers auf Seiten wie Google, Facebook und Twitter auf eine vom Hacker eingestellte Seite umleitet. Dort können anschließend empfindliche Daten des Nutzers wie Login-Daten oder sogar Bankinformationen ausgelesen und Malware eingespielt werden.
Die auf mobile Sicherheit spezialisierte Firma Zimperium aus San Francisco machte auf DoubleDirect aufmerksam und sagte, dass die Technik von Hackern bereits für Angriffe auf größere Anbieter wie Google, Facebook, Hotmail, Live.com und Twitter in über 31 Ländern (darunter auch Deutschland) genutzt wurde. Erst Freitag wurde bekannt, dass die Hacker-Gruppe „DerpTrolling“ ebenfalls Daten von unter anderem Facebook, Twitter und Live.com erhaschen konnte. Während DerpTrolling zwar laut eigenen Aussagen den Nutzern keinen Schaden zufügen möchte, sieht das ganze mit DoubleDirect etwas anders aus.
DoubleDirect nutzt ICMP (Internet Control Message Protocol) Umleitungspakete, um die Routing-Tabellen eines Hosts zu ändern. Diese werden von Routern verwendet, um der Maschine eine bessere Umleitung zu einer bestimmten Zielseite vorzugeben. Zimperium sagt außerdem, dass DoubleDirect nebst iOS und Android-Geräte auch Mac OS X-Nutzer ins Auge gefasst hat. Windows und Linux-Nutzer sind jedoch immun gegen die Angriffe, da die Betriebssysteme ICMP Umleitungspakete nicht akzeptieren.
Zimperium hat die Attacke intensiv getestet und kann bestätigen, dass sie unter iOS 8, inklusive iOS 8.1.1, das Anfang der Woche erschienen ist, sowie den meisten Android-Geräten mit Android 5.0 Lollipop funktioniert. Hierbei wird seitens Zimperium das Nexus 5 als Referenzgerät genannt. Auch die aktuellste Version von Mac OS X Yosemite ist anfällig für eine DoubleDirect-Attacke.
Unter Mac OS X könnt ihr ganz einfach herausfinden, ob euer System anfällig für eine DoubleDirect-Attacke ist. Hierzu öffnet Ihr euer Terminal und gebt folgenden Befehl ein:
sysctl net.inet.ip.redirect | grep „: 1“ && echo „DoubleDirect: VULNERABLE“ || echo „DoubleDirect: SAFE
Erhaltet Ihr die Nachricht „SAFE“, seid ihr erstmal auf der sicheren Seite. Erhaltet Ihr die Meldung „VULNERABLE“, solltet Ihr laut Zimperium folgenden Befehl hinterherschieben (Achtung, Ihr müsst zunächst via Befehl „sudo -i“ Root-Zugriff auf euren Mac freischalten):
sysctl -w net.inet.ip.redirect=0
Android-User mit einem gerooteten Gerät sollt Ihr laut Zimperium den folgenden Befehl (via Terminal-Emulator) eingeben:
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
Eine Lösung für iOS-Nutzer steht aktuell nicht zur Verfügung. Bleibt zu hoffen, dass die Sicherheitslücke spätestens mit dem nächsten 8.1.x Update gefixt wird.
Update: Da sich der oben genannte Fix für Mac OS X leider als nicht-permanent herausstellt, solltet Ihr die nachfolgende Alternative ausprobieren, auf die uns therealmarv in den Kommentaren hinwies (vielen Dank dafür!):
Damit der Fix in OS X 10.10.1 dauerhaft bleibt: Mit Root Zugriff (sudo -i) und einen Editor die Datei /etc/sysctl.conf erstellen. Beispiel mit dem einfachen nano editor: “nano /etc/sysctl.conf” und in diese Datei die Zeile “net.inet.ip.redirect=0? (natürlich alles ohne Anführungszeichen). Dann einmal neustarten und nochmal checken ob man anfällig ist. Außerdem ist der Fix nur auf IPv4 beschränkt. Man sollte zur völligen Sicherheit sich mal FreeBSD Konfigurationen raussuchen und folgende drei Zeilen in die sysctl.conf eingeben, die echt nicht gut konfiguriert sind in OS X:
net.inet.icmp.drop_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
(Quelle: Zimperium via The Hacker News)
@Chris: Danke.
Liebe User,
bitte lasst die Finger von der ICMP-Redirect Konfiguration.
Wenn der Angreifer bereits bei euch im Netzwerk ist, hilft auch kein Deaktivieren von ICMP-Requests mehr, dann könnte er z.B. direkt den Traffic eures Routers umbiegen.
Auf der anderen Seite sind ICMP-Redirects ein wirklich nützliches und sinnvolles Feature um bei komplexen Routing-Konfigurationen (z.B. in Firmennetzen) Traffic zu sparen.
Viele Grüße,
Tobias