26C3: Fuzzing the Phone in your (i)Phone
rj, den 28. Dezember 2009Nicht nur um iPhones ging es in Collin Mulliners Vortrag „Fuzzing the Phone in your Phone“ – nur kann man nach seinen Recherchen das iPhone wie auch auf Android oder Windows Mobile laufende Smartphones recht leicht zumindest abschießen. Nachdem Smartphones insbesondere über ihre neuen Features angegriffen wurden, stellte sich Mulliner (erfolgreich) die Frage, ob man aktuelle Smartphones nicht auch über „gängige“ Telefonfunktionen – insbesondere SMS – hacken kann. Man kann, auch das iPhone.
SMS ist sogar ein überaus lohnenswerter Angriffsvektor, über den neben Text- auch Binärdaten übertragen werden können. Auf Providerseite werden nach Mulliners Wissensstand noch keine Firewalls eingesetzt, weiter ist das Ziel in der Regel immer und ohne Mitwirkung des Users angreifbar – außer, man schaltet das Handy ab. Zu guter Letzt kommt man an die Handynummer vergleichsweise einfach heran.
Auch die Erforschung der Angriffsmöglichkeiten ist leichter als gedacht. Ein „Livetest“ wäre teuer und würde nicht nur dem Provider auffallen, sondern könnte auch dessen Infrastruktur bemerkbar in Mitleidenschaft ziehen, der Betrieb einer eigenen Funkzelle ist aufwändig, die Lösung besteht im Man-in-the-Middle-Angriff zwischen dem Modem und dem Anwendungsprozessor eines Smartphones. Dafür sind bereits Tools entwickelt worden, die bis hin zur Ergebnisanalyse Angriffe per SMS simulieren und auswerten.
Insbesondere das iPhone liefert in diesem Fall sogar recht ausführliche Crashlogs, die zur Analyse der SMS-Angriffsversuche verwendet werden können. Etwas komplizierter ist die Auswertung bei Android und Windows Mobile, wobei in Bezug auf die prinzipielle Angreifbarkeit alle drei Plattformen das gezielte Abschießen der Smartphones erlauben. Oft ist dazu sogar nur eine nicht standardkonforme SMS notwendig – es sei schwierig, so Mulliner illustrierend, die Android-SMS-Funktion nicht abzuschießen.
Für das iPhone sind SMS-Hacks bekannt, die auf dem empfangenden iPhone direkt das Springboard zum Crash bringen oder das CommCenter abschießen können – wobei letztere Möglichkeit mit einem Bugfix ab der iPhoneOS-version 3.0.1 behoben ist. Andere Angriffsmöglichkeiten, die über den Crash hinaus Möglichkeiten für Schadfunktionen bieten, konnten bislang nicht „in freier Wildbahn“ reproduziert werden, da viele theoretisch verfügbaren Features der SMS-Datenübertragung von den Providern nicht unterstützt werden.
Der „Smartphone-DoS“ reicht aber durchaus aus, um den Usern das Leben schwer zu machen. Tests ergaben, dass mit vergleichsweise wenig Aufwand Smartphones über Stunden lahmgelegt werden konnten – schickt man hundert Crash-SMS los, wird nach jedem Neustart von Springboard oder CommCenter die nächste SMS aus der Queue zugestellt, mit dem Ergebnis des erneuten Crashs. Ebenso ist es problemlos möglich, zu bestimmten Zeitpunkten laufende Gespräche mit einer Crash-SMS gezielt zu unterbrechen. Nicht nur Stalker werden auch mit so „begrenzten“ Mitteln auf einige interessante Angriffsmöglichkeiten kommen. Auf Windows Mobile existiert darüber hinaus eine Möglichkeit, die Touch-Unterstützung mittels SMS lahmzulegen – was nur dadurch beendet werden kann, dass die Schad-SMS vom Gerät gelöscht wird. Ebenso ärgerlich wird der Effekt bei nicht bemerkten Angriffen sein – Android-Handys können per SMS gelockt werden, was der User dank „Silent SMS“ nicht bemerkt – bis er das nächste Mal sein Handy genauer ansieht.
Apples iPhone bleibt per SMS also zwar nicht hack-, dann zumindest angreifbar. Dass die Konkurrenz in dieser Beziehung zur Abwechslung einmal besser positioniert wäre, kann nach Mulliners Vortrag indes nicht behauptet werden. Es gibt demnach für alle noch genug zu tun. Das notwendige Anschauungsmaterial hat Mulliner veröffentlicht.