Security-Auditing mit Android-Apps

Mit kostenlosen Apps verwandelt der Admin sein Android-Smartphone oder -Tablet in einen mobilen und flexiblen Security-Scanner, der das drahtlose Netzwerk untersucht und Schwachstellen findet.

Da Android Linux als Unterbau verwendet, bringt es tendenziell die gleichen Fähigkeiten zum Auditieren von Rechnern und Netzen mit wie ein ausgewachsener Linux-Rechner. Im Android Market stehen zahlreiche kostenlose Apps zur Installation bereit, die es Ihnen erlauben, Rechner und Netze auf verschiedenste Weise auf Sicherheitslücken zu prüfen. Die Spannweite reicht dabei vom Ermitteln der ans WLAN angeschlossen Rechner über Portscanning bis zu Penetration-Tests zum realen Nachweis der Ausnutzbarkeit von Schwachstellen. Dieser Artikel stellt ein paar Tools kurz vor und geht am Ende detailliert auf das Sicherheitswerkzeug Anti ein.

Nessus-Client

Nessus gilt als einer der besten Security-Scanner und erfreut sich großer Beliebtheit – nicht zuletzt deswegen, weil seine Entwickler die Angriffssignaturen regelmäßig aktualisieren. Der Nutzer der kostenfreien Version erhält diese jedoch erst mit einer Woche Verzögerung.

Um den Nessus-Server auch jenseits des PC zu bedienen, bietet der Hersteller Tenable über den Android-Market eine Client-App zum kostenlosen Download [1] an. Je nach Standort des Servers erreichen Sie ihn sowohl im WLAN als auch über das Mobilfunknetz.

Nach der Installation legt der Nutzer zunächst den Server fest, mit dem sich der Client verbinden soll. Die App erlaubt das Verwalten mehrerer Server. Nach dem Login wählen Sie, ob Sie die Reports (Abbildung 1) bereits gelaufener Scans einsehen möchte oder einen neuen Durchlauf starten möchten. Die Funktionalität der App ist der Übersichtlichkeit halber auf das Nötigste beschränkt. Es beispielsweise nicht möglich, Policies zu erstellen oder zu bearbeiten.

Da der Scan nach dessen Start unabhängig von der App läuft kann der Admin diese danach schließen und sich später die fertigen Berichte ansehen.

Overlook Fing

Wer sich einen Überblick darüber verschaffen möchte, welche Hosts sich einem WLAN befinden, nutzt dafür Overlook Fing [2]. Diese App listet in Sekundenschnelle sämtliche aufgespürten Rechner auf. Die Ergebnisse exportiert das Programm wahlweise in eine CVS,- XML- oder HTML-Datei. Darüber hinaus ermöglicht sie es auch, die Scan-Ergebnisse weiterzuleiten, beispielsweise per Mail.

Um offene Ports eines Hosts zu ermitteln genügt es, den gewünschten in einer Liste anzutippen und aus dem Auswahlmenü Scan services zu aktivieren. Findet die App Ports, die einen Zugriff ermöglichen, beispielsweise SSH oder FTP, erscheint neben dem Ergebnis ein kleiner Pfeil. Ein Fingertipp darauf öffnet ein Menü, aus dem der Nutzer auswählt, mit welcher Art von Client er darauf zugreifen möchte. Ist die benötigte Anwendung noch nicht installiert, leitet die App direkt zum Market weiter, um sie herunterzuladen. Um den Typ des Servers zu ermitteln genügt ein Druck auf Test TCP connection, worauf die Anwendung die Bannerausgabe des Daemons anzeigt. Allerdings erlaubt die Software keine freie Eingabe von Ports, sondern arbeitet stets eine Liste hinterlegter ab, die der Nutzer jedoch nach eigenen Wünschen verändern kann.

Port Scanner

Wer es genauer wissen möchte, verwendet die App Port Scanner [3]. Sie erlaubt die Eingabe der Adress-Range, die sie untersuchen soll. Darüber hinaus erlaubt das Programm auch die freie Eingabe von Ports, welche er beim Scannen abklopft. Port-Ranges kann man jedoch nicht angeben.

Die Ausgabe zeigt neben den gefundenen Ports auch die Server-Banner. Ein weiteres Verarbeiten der Resultate, wie es Overlook Fing gestattet, ist nicht möglich. Lediglich per Mail Mail lassen sie sich verschicken.

Net Swiss Tools

Wie der Name bereits erahnen lässt, verspricht die App Net Swiss Tools [4] dem Anwender eine Art Schweizer Taschenmesser zur Netzwerkanalyse. Per Drop-down-Menü bietet es ihm eine Reihe bekannter Werkzeuge, mit denen sich Rechner und Netze rudimentär auditieren lassen. Allerdings beschränkt sich die App nicht nur darauf, sondern bietet auch die Möglichkeit, Werte des eigenen Systems abzufragen. Beispielsweise zeigt Process info eine Art ps -ax-Output, der sämtliche laufenden Dienste des Geräts auflistet. Route zeigt die Einstellungen der Routing-Tabelle an.

Unter allen getesteten Apps bringt Swiss Tools den fähigsten Portscanner mit: Er erlaubt sowohl die Eingabe einzelner Ports als auch ganzer Ranges. Das Timeout stellt der Admin via Schieberegler ein. Mit der Leistungsfähigkeit von Nmap kann es jedoch keine der getesteten Apps auch nur im Ansatz aufnehmen.

Faceniff

Die Gefahren beim Besuch unverschlüsselter Seiten in öffentlichen Netzen macht die App Faceniff anschaulich. Sie startet eine klassische Man-in-the-Middle-Attacke, indem sie sich als Router ausgibt und sämtlichen Traffic auf das Gerät umleitet. Dort schneidet die Software unverschlüsselte Logins zu diversen Webseiten wie Facebook, Amazon, Twitter oder Blogger.com mit und stellt die Treffer in einer Liste dar.

Für den Angreifer genügt es, auf den entsprechenden Eintrag zu klicken, um direkt auf das jeweilige Konto zuzugreifen. Bei mehreren mit dem Netz verbundenen Geräten führt das hohe Traffic-Aufkommen aufgrund der begrenzten Systemressourcen von Smartphones häufig zu starken Latenzen. Entsprechend kann der Admin dieses Verhalten als Indiz für einen Man-in-the-Middle-Angriff via Mobilgerät in seinem WLAN interpretieren.

Diese App erfordert zum Ausführen Root-Rechte, was eine entsprechend vorbereitete Android-Plattform voraussetzt. Die Software steht derzeit lediglich auf der Webseite des Entwicklers [5] zum Download bereit. Die kostenlose Version beschränkt sich auf die Anzeige von drei erkannten Nutzerprofilen.

Faceniff arbeitet in allen WLAN-Netzen, unabhängig davon, ob verschlüsselt oder nicht. Die einzige netzwerkseitige Prävention besteht darin, in den WLAN-Settings des Routers EAP (Extensible Authentication Protocol) zu aktivieren, sofern dieser es zulässt.

Shark for Root

Wer auch auf seinem Smartphone auf gewohnten Pfaden wandeln will, dem für den gibt es den Paketsniffer Shark [6] (Abbildung 2), der im Backend das allseits bekannte Tcpdump zum Aufzeichnen von Paketen verwendet. Auch diese App erfordert Rootrechte auf dem Android-Gerät. Um die Logdateien zu verarbeiten benötigt die Software darüber hinaus ein installiertes Busybox, das ebenfalls im Android-Market [7] zum kostenlosen Download bereit steht.

Nach dem Start zeigt das Programm ein Eingabefeld neben Parameter. Hier tragen Sie die von Tcpdump benötigten Optionen ein und starten den Sniffer via Start. Im unteren Teil des Displays informiert die App danach, wie viele Pakete sie bereits verarbeitet hat.

Den Dump speichert das Programm in der Datei /sdcard/shark_dump_ mit einem Timestamp. Der Button Open capture file öffnet ihn im Shark Reader [8], sofern er auf dem System installiert ist. Allerdings zeigt der Betrachter nur rudimentäre Informationen an. Erst der Import in Tools wie Wireshark offenbart den kompletten Informationsgehalt des Dumps.

Ähnlich wie Faceniff eignet sich auch diese App für Man-in-the-Middle-Angriffe. Startet der Admin nämlich zunächst via Tether einen WLAN-Hotspot auf dem Mobilgerät und danach Shark, schneidet die Software den kompletten Datenverkehr aller Nutzer mit, die den Hotspot zum Surfen nutzen.

Anti

Auf der diesjährigen Defcon in Las Vegas sorgte ein Toolkit namens Anti [9] für Aufsehen. Ähnlich wie beispielsweise das Metasploit Framework [10] soll das Android Network Toolkit in der Lage sein, verwundbare Rechner im Netz zu orten, ihre Sicherheitslücken auszunutzen und direkt eine Backdoor zu installieren. Das Pikante dabei: Die Nutzung der App ist so einfach, dass auch Nutzer ohne besondere Security-Erfahrung sie bedienen können.

Für das derzeit in der Betaphase befindliche Projekt sieht der Maintainer Itzhak Avraham (alias Zuk) zukünftig mehrere Kategorien vor. Neben einer freien, erheblich im Funktionsumfang eingeschränkten Version möchte er auch drei kostenpflichtige in verschiedenen Ausprägungen anbieten. Itzhak hat ebenfalls angekündigt, die App über den offiziellen Android Market anzubieten. Ob Google das goutiert, bleibt abzuwarten. Aktuell gibt es einen Release Candidate, bei dem man für einzeilne Angriffe Credit Points kaufen muss. Die entsprechende Bezahl-App befindet sich laut Zimperium im Android Market, in den Tests Mitte Oktober war sie jedoch nicht zu finden. Anti selbst gibt es nur via Registrierung über die Webseite.

An die Waffen

Je nach Angriffsszenario benötigt Anti ein gerootetes Android-System. Etwas herumspielen und testen lässt sich jedoch auch ohne Admin-Rechte. Das Bundle besteht aus drei unabhängigen Apps. Dem Kernbestandteil anti.apk, dem Exploit-Modul AntiAttackPlugin.apk und dem Man-in-the-Middle-Addon AntiSpyPlugin.apk. Zur Installation empfiehlt die Projektseite das Android-SDK. Alternativ kopiert der Admin die Apps auf das Smartphone, und tippt sie danach an.

Im Test startete die App nur bei aktiviertem WLAN. Dann legt sie aber auch direkt los und scannt das Netz, in dem sie sich selbst befindet nach auffindbaren Hosts und darauf geöffneten Ports. Dabei prüft sie die Rechner auch nach potentiellen Sicherheitslücken. Diese Eigenart schaltet der Admin unter Options | Detect new networks ab.

Nach Abschluss des Scans zeigt das Fenster Local Targets sämtliche gefundenen Hosts in einer Übersicht (Abbildung 1). Die farbigen Punkte zeigen an, ob der Host aktiv ist (grün), er offene Ports bereitstellt (gelb) oder von Anti ausnutzbare Sicherheitslücken aufweist (rot).

Ein Tipp auf den gewünschten Eintrag öffnet eine neue Ansicht mit verschiedenen Optionen. Dazu zählen Scan zur detaillierten Suche via Nmap, Connect zum Verbinden mit geöffneten Ports und Spy (Abbildung 4). Letzteres generiert die Light-Version eines Man-in-the-Middle-Angriffs und zeigt auf dem Handy sämtliche Bilder an, die der Zielhost via HTTP herunterlädt. Allerdings fällt das dort relativ schnell auf, da die App HTTPS-Verbindungen nicht sauber durchreicht und damit verschlüsselte Seiten nicht mehr anzeigt.

Feuer frei

Das letzte Modul Attack generiert einen Angriff auf den Zielhost. Während im Test der ersten Version von Anti der Exploit noch ins Leere lief, war er beim Nachfolger erfolgreich. Allerdings beschränkt sich nach Auskunft des Maintainers das Angriffsziel bislang auf Windows XP mit SP3 ohne eingespielte Updates.

Anti nutzt offenbar eine SMB-Schwachstelle, um das System zu kompromittieren und das Tool Anti.exe auf dem Rechner im Laufwerk c: abzulegen und zu starten. Da die Backdoor weder versucht, sich zu verschleiern, noch in den Bootprozess einbindet, geht es dem Maintainer offenbar in erster Linie um eine Machbarkeitsstudie. Darüber hinaus ist der Wirkungskreis der Schadsoftware relativ beschränkt. So erlaubt es etwa das Öffnen eines Terminals, das Erstellen eines Desktopscreenshots und das Abrufen der Prozessliste. Ein Check bei Virustotal ergab, dass bisher lediglich die Scanner von Trendmicro auf den Eindringing anspringen, ihn aber mangels hinterlegter Signatur lediglich als generische Schadsoftware einstufen [11].

Für den Admin hält sich der Nutzen dieser Funktion jedoch in Grenzen, was in erster Linie daran liegt, dass die App keinerlei Informationen darüber liefert, welche der Exploits letztendlich das System kompromittieren konnten.

Weitere Funktionen

Das Fenster Notifications listet unter Finished Scans sämtliche durchgeführten Hostscans auf. Ein Tipp auf einen Eintrag öffnet ein neues Fenster, welche zwar eine detaillierte Scan-Analyse zeigt, deren Export in eine Textdatei oder auf andere Rechner ist jedoch derzeit nicht möglich. Darüber hinaus zeigt die Ansicht zusätzliche Zu- und Angriffsmöglichkeiten auf den Zielhost (Abbildung 6).

Unter anderem soll sie via M.I.T.M. eine Man-in-the-middle-Attacke auf die Verbindung des ausgewählten Hosts ermöglichen. Nach Anwahl des zweiten Ziels, beispielsweise das Internetgateway, zeigt die GUI unter anderem die Auswahl mehrerer Arten, die Verbindung zu manipulieren, beispielsweise via arp. Daneben bietet die App die Wahl, in welcher Weise die Verbindung manipuliert werden soll. Zur Auswahl stehen unter anderem Replace Images, Redirect Http to localhost und Drop Https to Http. Im Test schlugen jedoch alle Versuche fehl, eine Verbindung auf das Smartphone umzuleiten.

Fazit

Android bietet eine Menge Tools, um direkt vom Smartphone aus das eigene oder fremde Netze auf Sicherheitsprobleme hin zu untersuchen. Die mit Abstand umfangreichste Lösung stellt Anti dar. Das Tool birgt auch in der vorliegenden Vorabversion schon eine Menge Potential, wobei die Intention der Entwickler nicht immer klar ersichtlich ist. Auf den ersten Blick spricht es ob seiner bunten Oberfläche und intuitiven Bedienbarkeit sicherlich in der Mehrheit Skript-Kiddies an. Professionelle Pen-Tester profitieren von dem Tool bislang nur bedingt. So fehlt der App bislang beispielsweise ein vernünftiges Reporting, das darüber berichtet, welcher der verwendeten Exploits letztendlich erfolgreich war. Darüber hinaus ist weder auf der Webseite des Betreibers noch auf der App selbst ein Manual oder Whitepaper zu finden, das über die Funktionsweise des Toolkits informiert. Deutlich aussagekräftiger fällt dagegen das Nmap-Protokoll aus, das detailliert Aufschluss über den Scan liefert. Immerhin bietet die aktuelle Version 1.1 nun auch die Möglichkeit, sich die Log-Dateien per Mail zusenden zu lassen. Natürlich gegen Credit Points.