Lokalfunk

Anlässlich des 25. Kongresses des CCC (25C3) stellte Collin Mulliner einige Sicherheitslecks und konkrete Angriffsszenarien auf NFC basierte Anwendungen vor (heise.de am 30.12.08).
Die Webseite von Mulliner ist in jedem Fall einen Besuch wert, neben NFC gibt es auch einige Artikel zu Bluetooth.

Zurück bleibt die bestätigte Ahnung, dass reines “Reicht-ja-bloß-ein-paar-Zentimeter-Funk” als Sicherheitsmerkmal unzureichend ist. Besonders brisant ist bei NFC, dass es oft im Kontext sicherheitsrelevanter Anwendungen benutzt wird (werden soll), wie Kauftransaktionen, Buchungen etc. Umso unverständlicher mit welcher Hartnäckigkeit an den unsicheren mifare Chips festgehalten wird.

Zu den Tests von Mulliner in “freier Wildbahn” schreibt heise.de abschließend:

Nicht zuletzt nahm Mulliner Zahlungsanwendungen etwa bei den “Wiener Linien”, der Österreichischen Bahn, dem Snackautomaten Selecta in der Hauptstadt der Alpenrepublik oder im besonders NFC-begeisterten Rhein-Main-Verkehrsverbund (RMV) unter die Lupe. Als Schwachstelle hätten sich dabei vor allem die Tags erwiesen, die nicht sicher konfiguriert und somit leicht austauschbar oder mit einem RFID- Zapper zerstörbar seien. Teils seien die Etiketten auch zu überschreiben. Die veränderten Tags könnten dann Handys wiederum auf unerwünschte Seiten lenken, sie zum Absturz bringen oder Falschinformationen etwa über die Einsteigestation enthalten. Durch die so durchführbaren Angriffe auf das System “im großen Stil” sei es Hackern möglich, nicht nur die Aufmerksamkeit auf die Sicherheitsprobleme bei NFC zu lenken, sondern die Anwendungen eventuell auch insgesamt zu diskreditieren.

Es gibt Neuigkeiten zum lustig-traurigen Dauerthema: “Mobiltelefone mal anders nutzen”. AreaMobile berichtete am 5.10. über eine Stellungnahme des Bundesinnenministeriums:

Von keiner der Strafverfolgungsbehörden des Bundes werden Handys als Abhörgeräte genutzt.
[…] über die Verwendung der Technik durch die Geheimdienste könne man nur das zuständige parlamentarische Kontrollgremium informieren – unter Ausschluss der Öffentlichkeit selbstverständlich.

Interessanter der Tipp des hochgeschätzten Bundesamtes für Sicherheit in der Informationstechnik (BSI), wie man sich gegen die Fremdbestimmung seiner Kommunikationsmittel schützen könne:

Demnach sei die sicherste Art vor Missbrauch, das Mobiltelefon zu Hause zu lassen

Touché!

Mit einiger Regelmäßigkeit warnen Sicherheitsspezialisten der Anitvirus Branche vor den existierenden oder zu erwartenden Gefahren von Viren auf Mobiletelefonen. Manchmal sind bereits 5% aller MMS virenverseucht und damit die Hauptvirenquelle (lt. Fortinet, via teltarif, Jan. 2006) oder es sind vor allem Bluetooth Smartphones, die besonders gefährdet sein sollen, wie auf SearchSecurity zu lesen:

Existierende Handyschädlinge verbreiten sich hauptsächlich über die Drahtlosschnittstelle und nur selten per MMS oder durch infizierte Speicherkarten.

Eigentlich geht es im Artikel aber um das Apple iPhone und die Erwartung, dass es aufgrund von Softwarefehlern anfällig sein müsste für Angreifer. Diese Aussage entbehrt immerhin durch die Erfahrungen mit Windows und frühen Bluetooth Implementierungen nicht einer gewissen Glaubwürdigkeit. Im Übrigen suchen die Sicherheitsunternehmen den Markt der mobilen Geräte für ihre Software zu erobern, da liest es sich schlecht, dass es (noch) keine wirkliche Notwendigkeit für deren Produkte zu geben scheint.

Im Artikel heisst es weiter:

Außerdem müssen Anwender die Bluetooth-basierten Schadprogramme willentlich auf ihr Handy kopieren lassen und dann auch noch die Installation erlauben. Momentan ist die massenhafte Verbreitung also eher unwahrscheinlich.

(Zitatquelle: SearchSecurity.de)

Nun, wohl eher nicht, aber natürlich steht das mal wieder im Raum, regelmässig und regelmässig unsinnig, am 15.7.07 zum Beispiel in der
Online-Welt:

Über drahtlose Schnittstellen wie Bluetooth oder W-Lan können Polizei-Experten Handys von Verdächtigen umprogrammieren. Auch Trojaner werden mit Klingeltönen eingeschleust.

Also Vorsicht bei folgender Meldung, auch wenn man den Klingelton unbedingt haben will (”lalülala”):

Klar, bei einigen deutlich älteren Modellen oder nicht gepairten Freisprecheinrichtungen ist auch eine missbräuchliche Nutzung per Bluetooth möglich, sehr viel wahrscheinlicher ist aber einfach die Einschleusung eines Trojaners per SMS-Attacke gemeint (s. Bericht bei gulli).
Per SMS macht hier auch mehr Sinn. Es wäre schon lustig zu beobachten, wie die Polizei in 10m Abstand einem Mafiosi einen Klingelton mit Trojaner andrehen will.

Ende letzten Jahres erschien auf heise Security ein Artikel von Marko Rogge mit dem Titel “Bluetooth als Einfallstor - Wie Bluetooth-Marketing Anwender für mobile Viren desensibilisiert”. Er beschreibt recht anschaulich eine einfache, billige und dabei sehr “erfolgversprechende” Form eines Angriffs auf Bluetooth Mobiltelefone, die durch Bluetooth Marketing Systeme verschärft wird. Der Grundgedanke ist: Firma A bietet über einen Bluetooth-Transmitter auf einem Event Handy-Games zum freien Herunterladen an. Hacker B steht ein paar Meter weiter mit seinem Laptop+Dongle und bietet unter dem Namen v. Firma A lustig Virenprogramme an, die genauso heißen, wie das Spiel. Wer unter den jungen Schnäppchenjägern und umworbenen Konsumenten passt jetzt genau auf, ob ein eventuelles Zertifikat wirklich von Firma A kommt? Nun, lt. heise Test sehen es 40% anscheinend nicht ganz so genau. Und dann könnte ein Virus auf dem Mobilgerät landen. Das Szenario erinnert ein wenig an E-Mail Nachrichten mit dem Subject “Delivery Status notification”, “Ihre Telekom Rechnung” usw. Erschwerend kommt hinzu, das sich viele Viren am liebsten über Bluetooth weiterversenden. Wo sind viele Leute mit offener Bluetooth-Schnittstelle zu finden? Genau, direkt neben Dir an der Bluetooth Leuchtsäule oder am funkenden Plakat.

Die Hersteller sollten also grundsätzlich zu versendende Programme mit einem Zertifikat versehen und dessen Bedeutung klar am Ort des Geschehens deutlich machen. Am besten wäre, grundsätzlich auf den Versand von Programmen (jar/sis usw.) zu verzichten und vor Installationen zu warnen. Eine andere Alternative ist es, die Bluetooth Kommunikation mit dem Marketing System nur über eine eigene, auf dem Mobiltelefon aus sicherer Quelle installierte Anwendung zu erlauben (s. z.B. BlipExplorer der Fa. Blipsystems, Nokia Coolzone, die anscheinend aber nicht mehr entwickelt wird, oder das Produkt Jellingspot).

Kommunikation mit dem Mobiltelefon ist ein sensibler Bereich, in Hinsicht auf Sicherheit, Kosten und Spam-Problematik.
Als Richtschnur für die Beurteilung von Bluetooth Marketing (und lokalem Funk allgemein) stelle ich folgende Thesen zur Diskussion:

1. Identifikationspunkt
   Ein Bluetooth-Marketing Dienst muss von jedem Punkt des Sendebereiches gut sichtbar gemacht, die Funktionsweise und die angebotenen Inhalte klar beschrieben werden, Beispiele sind große Leuchtsäulen oder beleuchtete Plakate. Ansonsten besteht die Gefahr, dass Mobilgeräte-Besitzer belästigt werden und nicht wissen, von wem und was gesendet werden soll.
2. Reichweite
   Die Reichweite für die Empfängererkennung darf bei Content-Push 50 cm nicht überschreiten (das sogenannte Touch-OptIn). Es soll also sichergestellt werden, dass sich alle Nutzer des Systems aktiv durch das nahe Herantreten aktiv dafür entschieden haben, eine Kommunikation zu starten.
3. Spam
   Content -Push, der nicht Pkt. 1+2 genügt ist in jedem Fall Spam.
   1. Die Standard Abfrage, ob ein Inhalt empfangen werden soll, ist an sich keine ausreichende Einverständniserklärung, und unter Umständen an sich schon unerwünschte Kommunikation. Es ist zudem nicht sicher, wer wirklich der Absender der Nachricht ist.
   2. Die Tatsache, dass Bluetooth auf sichtbar geschaltet ist, bedeutet nicht, dass der Besitzer eine Gerätes Inhalte empfangen will
4. Fehlende Abfrage
   Mobilfunkgeräte, die abweichend vom Bluetooth Standard überhaupt keine Standard Abfrage bei Content Push bieten, müssen vom System grundsätzlich vom Empfang ausgeschlossen werden (Siemens, Siemens-BenQ).
5. Pairing
   Jede Form von Bluetooth-Marketing, welches ein vorheriges Pairing benötigt, ist aus Sicherheitsgründen grundsätzlich abzulehnen.
6. Bluetooth Name
   Die Absenderbezeichnung (Bluetooth Name) muss eindeutig zur visuellen Manifestation (s. Pkt. 1) zuordbar sein.
7. Korrekte Darstellung
   Es werden nur Inhalte versendet, die auf dem Empfängergerät korrekt darstellbar sind, soweit technologisch möglich. So sollte durch ein Blueprinting Verfahren der Typ der Empfängergerätes bestimmt werden und entsprechend gestaltete Inhalte in nutzbarem Format gesendet werden. Die Datenbank sollte mindestens die 200 gängigsten Modelle enthalten und regelmäßig ergänzt werden.
8. Programme
   Werden Anwendungen (jar, sis, exe Dateien) versendet, so sind diese immer mit einer digitalen Signatur zu versehen, die den Anbieter des Inhalts eindeutig kennzeichnet.
9. Verhalten nach Ablehnung
   Wird der Empfang eines Inhalts abgelehnt, so wird nie wieder versucht, diesen Inhalt an diesen Nutzer zu senden. Dies gilt für alle Sender eines Anbieters (z.B. innerhalb einer Kampagne mit mehreren Sendern).
10. Verhalten nach Timeout
    Erkennt das System, dass ein Inhalt nicht angenommen wurde, da die Bestätigungsmeldung vom Nutzer nicht gesehen wurde (Timeout, weil das Gerät z.B. in der Tasche ist), genau dann darf erneut ein Sendevorgang nach mindestens 2 min. eingeleitet werden. Insgesamt darf dies maximal 3 mal probiert werden.
11. Speicherung Bluetoothadressen
    Die Bluetoothadressen der Nutzer dürfen nur solange gespeichert werden, wie dies zum Versand und zur Erfüllung der Punkte 9+10 notwendig ist.
12. Nutzerprofilerstellung
    Es wird nicht versucht, Bluetoothadressen mit anderen persönlichen Daten (Name, Tel.Nr., Aufenthaltsorte,…) zu verbinden und zu speichern.
13. Inhaltlicher Bezug zur Umgebung
    Die zu versendenden Inhalte stehen in einem nachvollziehbaren inhaltlichen Kontext zur Umgebung. Beispiel: An einem Plakat mit einer Werbung für einen Kinofilm erhält man den Trailer als Video.

(to be continued).