Sicherheitsspezialisten haben in den vergangenen Tagen eine neue Form eines Man-in-the-Middle (MitM)-Angriffs in freier Wildbahn entdeckt, der unter dem Namen DoubleDirect Smartphones und Tablets mit den Betriebssystemen iOS und Android kompromittiert. DoubleDirect ermöglicht dem Angreifer, den Datenverkehr von Nutzern auf Seiten wie Google, Facebook und Twitter auf eine von ihm manipulierte Webseite umzuleiten. Dadurch ist der Internetbetrüger in der Lage, wertvolle Informationen wie Anmelde- oder Bankdaten abzugreifen oder Malware auf dem Gerät des Opfers zu installieren.
Worum handelt es sich bei DoubleDirect?
Das in San Francisco ansässige und auf mobile Sicherheit spezialisierte Unternehmen Zimperium warnte in einem Blog-Eintrag vor der DoubleDirect-Methode, die bereits für Attacken auf großen Seiten wie Google, Facebook, Hotmail, Live.com und Twitter in über 31 Ländern, unter anderem Deutschland, Großbritannien und USA, eingesetzt wurde. Mit der Entdeckung des DoubleDirect-Angriffs in freier Wildbahn offenbarte sich, dass die Internetkriminellen eine bisher unbekannte Implementierung nutzten, die im Vollduplex-Betrieb die ICMP-Redirect-MitM-Angriffe ausführt. In der Regel ist diese Form der Attacken (ICMP-Redirect) beschränkt und funktioniert nur im Halbduplex, wo die Daten zwar abwechselnd, aber nicht gleichzeitig in beide Richtungen fließen können.
Wie funktioniert DoubleDirect?
DoubleDirect verwendet ICMP- (Internet Control Message Protocol) Pakete, um die Routingtabellen eines Hosts zu ändern. Sie werden von Routern genutzt, um der Maschine eine bessere Route zu einer bestimmten Zieladresse vorzugeben. Zimperium zufolge habe es DoubleDirect neben iOS- und Android-Geräten auch auf Mac OS X-User abgesehen. Was diese Attacken sehr gefährlich macht ist, dass sie meist auch in anderen Netzwerksegmenten als dem eigenen ausgeführt werden können.
"Bei diesem MitM-Angriff nutzt der Angreifer ein geändertes ICMP-Redircet-Paket, um den Traffic, der eigentlich an das Mobilgerät des Opfers übermittelt werden soll, auf sein eigenes Gerät umzuleiten. Um das Gerät des Opfers selbst zu kompromittieren, muss der Angreifer nun allerdings eine Schwachstelle finden, die er ausnutzen kann. Deswegen sollten Nutzer die Firmware und Apps regelmäßig aktualisieren, um solchen Bedrohungen aus dem Weg zu gehen.", erklärt Raphael Labaca Castro, Security Researcher bei ESET.
Welche Geräte sind gefährdet?
Zimperium führte verschiedene Tests durch und bestätigte, dass die Angriffe auf den neuesten iOS-Versionen, einschließlich 8.1.1, sowie den meisten Android-Geräten, auch Nexus 5 und Android 5.0 Lollipop funktionieren. Zudem ist ebenso Mac OS X Yosemite für eine DoubleDirect-Attacke anfällig. Dagegen seien Windows- und Linux-Nutzer immun gegen solche Angriffe, weil ihre Betriebssysteme keine ICMP-Redirect-Pakete akzeptieren.
Die Zunahme an mobilen Geräten führt zu einem deutlichen Anstieg an Attacken auf Drahtlosnetzwerke. Ein ICMP-Redirect-Angriff ist nur ein Beispiel für eine bekannte MitM-Netzwerkattacke, der häufig als Alternative zum altbekannten ARP-Spoofing genutzt wird.