Open WiFi. Free internet access and the takeover of your Android device included

Transkript

1 Open WiFi Free internet access and the takeover of your Android device included

2 $whoami Christoph Rottermanner Bachelor IT-Security FH Sankt Pölten Master 3. Semester Information Security FH Sankt Pölten Arbeite für XSec in Wien Penetration Testing 2

3 Überblick Rückblick Android Schwachstellen WiFi Angriffsvektoren Open WiFi Demo 3

4 Rückblick 4

5 WebView JavascriptInterface RCE 5

6 TowelRoot 6

7 Stagefright 7

8 QuadRooter 8

9 Drammer 9

10 Dirty Cow 10

11 Verteilung Android Versionen 5.60% 18.70% 7.70% 1.40% 1.50% 0.10% 2.30% 21.90% 27.70% Froyo (2.2) Gingerbread ( ) Ice Cream Sandwich ( ) Jelly Bean (4.1.x) Jelly Bean (4.2.x) Jelly Bean (4.3) KitKat (4.4) Lollipop (5.0) Lollipop (5.1) Marshmallow (6.0) 13.10% 11

12 Android Schwachstellen 12

13 WebView JavascriptInterface RCE Veröffentlicht: Dezember 2012 Schwachstelle in Android WebView Android Versionen < 4.2 Standardbrowser Android Version anfällig Einschleusen von Javascript Code 13

14 WebView JavascriptInterface RCE Angriffsvektoren MITM WebView HTTP Verbindung Stored XSS in der Webseite welche vom WebView geladen wird WebView Javascript Bridge Ermöglicht Ausführung von Java Code 14

15 WebView JavascriptInterface public boolean shouldoverrideurlloading(webview view, String url) { if (url.substring(0,6).equalsignorecase("yourscheme:")) { // parse the URL object and execute functions } } WebView mwebview; public void oncreate(bundle savedinstancestate) { super.oncreate(savedinstancestate); mwebview=new WebView(this); mwebview.getsettings().setjavascriptenabled(true); mwebview.addjavascriptinterface(new JavaScriptInterface(), "jsinterface"); mwebview.loadurl("file:///android_asset/www/index.html"); setcontentview(mwebview); } 15

16 Stagefright Veröffentlicht: Juli 2015 Schwachstelle in libstagefright Multimedia Playback Library Android Versionen April 2015 an Google übermittelt ASLR teilweise in 4.0 und anschließend in 4.1 vollständig implementiert Schadecode konnte mittels MMS übermittelt werden 16

17 Stagefright 17

18 Stagefright 18

19 Stagefright Erste Gegenmaßnahmen, Angriffsvektor MMS Automatischer Abruf von MMS kann deaktiviert werden Automatischer Abruf in Android 5.1+ standardmäßig deaktiviert Keine Benutzerinteraktion erforderlich Patch wurde erstellt 19

20 Stagefright Erste Gegenmaßnahmen, Angriffsvektor MMS Automatischer Abruf von MMS kann deaktiviert werden Automatischer Abruf in Android 5.1+ standardmäßig deaktiviert Keine Benutzerinteraktion erforderlich Patch wurde erstellt 20

21 Stagefright Erste Gegenmaßnahmen, Angriffsvektor MMS Automatischer Abruf von MMS kann deaktiviert werden Automatischer Abruf in Android 5.1+ standardmäßig deaktiviert Keine Benutzerinteraktion erforderlich Patch wurde erstellt 21

22 Stagefright 22

23 Stagefright

24 Stagefright

25 Stagefright 2.0 Veröffentlicht: Oktober 2015 Schwachstelle in libutils und libstagefright Android Versionen libutils schon seit Android 1.0 anfällig libstagefright erst seit Android 2.2 vorhanden 25

26 WiFi 26

27 Funktionsweise Client sendet Probe Request Abfrage von Informationen gezielt von einem Access Point (AP) mittels SSID Mittels Broadcast SSID auch an alle APs in der Umgebung Antwort vom AP mittels Probe Response Informationen werden mittels Beacon frames auch vom AP ausgesendet 27

28 Hallo welche WLans gibts denn? Client sendet Probe Request um zu prüfen ob etwa bekannte SSIDs vorhanden sind Requests können von umliegenden Geräten mitgelesen werden Verbindung immer zum nächstliegenden AP Automatischer Wechsel 28

29 Angriffsvektoren - Open WiFi 29

30 Warum open WiFi? 30

31 Warum open WiFi? Phishing Links eher schon bekannt Unbekannte Links anklicken => gefährlich 31

32 Warum open WiFi? Phishing Links eher schon bekannt Unbekannte Links anklicken => gefährlich 32

33 Warum open WiFi? Phishing Links eher schon bekannt Unbekannte Links anklicken => gefährlich Smartphones verbinden sich automatisch mit bekannten öffentlichen WLans Keine Benutzerinteraktion erforderlich Menschen freuen sich über offene WLans ;) 33

34 Warum open WiFi? Phishing Links eher schon bekannt Unbekannte Links anklicken => gefährlich Smartphones verbinden sich automatisch mit bekannten öffentlichen WLans Keine Benutzerinteraktion erforderlich Menschen freuen sich über offene WLans ;) 34

35 Vorbereitung Mc Donalds OEBB Free-Wifi Monitoring Home-Wifi OEBB Free-Wifi 35

36 Vorbereitung OEBB WLan erstellen 36

37 Szenario 1 Offene WLans nutzen meist Proxies OEBB Mc Donalds Authentifizierungs-Webseite Terms of Use 37

38 Szenario 1 Proxy Service starten 38

39 Szenario 1 39

40 Szenario 1 40

41 Szenario 2 Man ist doch bereits der Mann/die Frau in der Mitte xd Einfach mal warten bis eine HTTP-Seite aufgerufen wird 41

42 Szenario 2 Inject HTML Code 42

43 Szenario 2 43

44 Gegenmaßnahmen Custom ROM mit Security Patches Cyanogenmod WLan-Funktion abschalten, wenn nicht mehr benötigt Offenes WLan meiden?? 44

45 Demo Time!!! 45

46 Slides auf 46