Beveiliging bedrijfsgegevens kansloos tegen spyphone software

Steeds meer bedrijven bieden hun werknemers de mogelijkheid om gevoelige bedrijfsinformatie zoals e-mails te bekijken op hun iPhone, iPod touch of iPad. Vaak worden daarvoor Mobile Device Management (MDM) oplossingen gebruikt, waarbij de bedrijfsgegevens versleuteld worden verstuurd en opgeslagen en worden afgeschermd van privégegevens van medewerkers. Op de Black Hat conferentie in Amsterdam werd deze vorm van beveiliging tegen het licht gehouden, waaruit blijkt dat gevoelige bedrijfsgegevens alsnog relatief eenvoudig gecompromitteerd kunnen worden.

De iPhone als spyphone

Het iOS besturingssysteem blijkt een populair doelwit te zijn geworden voor diverse aanbieders van spyphone software, zoals de beruchte software van FinFisher en HackingTeam. Met spyphone software kan zonder dat de gebruiker dat doorheeft bijvoorbeeld geluid worden opgenomen, kan de locatie van de telefoon worden bepaald, kunnen e-mails, applicatiegegevens en wachtwoorden worden doorgestuurd of kan een intern bedrijfsnetwerk worden geïnfiltreerd. Spyphone software die gebaseerd is op bekende kwetsbaarheden in bestaande jailbreaks is vanaf enkele euro’s per maand beschikbaar, terwijl geavanceerdere software die gebruik maakt van onbekende kwetsbaarheden voor vele honderdduizenden euro’s verhandeld wordt. Gebruikers kunnen bijvoorbeeld met de software worden besmet via fysieke toegang of door ze een spear phishing e-mail of SMS te sturen en zonodig te verleiden om op een link te klikken.

Volgens onderzoek dat is uitgevoerd door Lacoon Mobile Security naar 250.000 smartphones bij een operator in Oktober 2012 bleek ongeveer 1 op de 1000 smartphones al geïnfecteerd te zijn met dergelijke spyware. De spyphones kunnen geïnfecteerd zijn door een bezorgde ouder of jaloerse echtgenoot, maar ook door een concurrerend bedrijf of rivaliserende overheid. Aangezien smartphones over het algemeen gericht worden aangevallen met dergelijke spyware en de software zich niet automatisch verspreidt, is 1 op 1000 smartphones een opvallend hoog aantal. Gelet op het marktaandeel van iOS wordt de iPhone bovendien relatief vaak aangevallen om te worden ingezet als spyphone.

Mobile Device Management (MDM) en versleuteling

Grote bedrijven en organisaties proberen de risico’s die voortvloeien uit het gebruik van smartphones binnen hun bedrijfsomgeving zoveel mogelijk te beperken. Volgens Gartner zal in 2017 zelfs circa 65% van de bedrijven gebruik maken van een Mobile Device Management (MDM) oplossing. Populaire MDM oplossingen zoals die van MobileIron, AirWatch, Fiberlink, Zenprise en Good Technologies bieden in dat kader veelal een versleutelde container waarin gevoelige bedrijfsinformatie kan worden opgeslagen. Door de communicatie tussen de smartphone met het bedrijfsnetwerk ook op een veilige wijze te laten plaatsvinden (bijvoorbeeld door middel van VPN/SSL) worden de risico’s verder beperkt. De vraag die de onderzoekers van Lacoon hebben proberen te beantwoorden is of deze maatregelen voldoende zijn in het licht van de dreiging die uitgaat van bestaande spyphone software.

De meest populaire MDM oplossingen maken gebruik van applicaties op de iPhone, iPod touch of iPad die binnen de reguliere sandbox van Apple draaien. Met basale controles wordt gepoogd om vast te stellen of het toestel potentieel geïnfecteerd is door spyphone software, bijvoorbeeld door te controleren of er een jailbreak is uitgevoerd en daarbij Cydia is geïnstalleerd. De spyphone software is de MDM applicaties echter vaak een stap voor, door een jailbreak zoveel mogelijk onzichtbaar te maken, door onbekende kwetsbaarheden te gebruiken of door de software te signeren met een enterprise- of ontwikkelaarscertificaat.

Tijdens de presentatie toonden de onderzoekers hoe de spyphone software vervolgens kan worden ingezet om de beveiliging van de versleutelde container van de populaire MDM software van Good Technologies te omzeilen op Android en iOS gebaseerde toestellen. Op iOS werd daarbij code ingeladen die op de achtergrond actief bleef om vast te stellen wanneer een beveiligde e-mail werd geopend. De inhoud van de e-mail kon vervolgens relatief eenvoudig onversleuteld uit het geheugen van de smartphone worden gehaald en automatisch worden doorgestuurd naar de aanvaller. De onderzoekers benadrukten dat zij de software van Good Technologies onder handen hebben genomen op basis van de populariteit van deze oplossing, maar dat de beveiliging van de software van andere aanbieders op exact dezelfde manier kan worden gecompromitteerd.

Conclusie en advies

Het aantal spyphones dat in de praktijk wordt aangetroffen is relatief hoog gezien het feit dat deze software over het algemeen wordt gebruik om toestellen gericht te infecteren. De beveiliging die geboden wordt door populaire MDM applicaties is grotendeels afhankelijk van de veiligheid van het besturingssysteem waar de applicaties op gebruikt worden. De onderzoekers van Lacoon Mobile Security stelden dan ook terecht de vraag in hoeverre deze MDM applicaties iets toevoegen aan de beveiliging; als het besturingssysteem niet gecompromitteerd is dan is de beveiliging van de MDM applicaties overbodig en als het besturingssysteem wel gecompromitteerd is dan kunnen de MDM applicaties gebruikers daar niet tegen beschermen. Volgens de onderzoekers moeten MDM oplossingen dan ook vooral worden gebruikt om beheer gemakkelijker te maken en om privé en zakelijke gegevens van elkaar te scheiden, maar zijn deze niet zozeer geschikt als (de belangrijkste) beveiligingsmaatregel.

Reguliere gebruikers die hun iPhone, iPod touch of iPad alleen voor privédoeleinden gebruiken hoeven zich op dit moment nog weinig zorgen te maken over het risico dat uitgaat van spyphone software, zo lang ze de fysieke controle houden over hun toestel. Als er daarnaast gevoelige bedrijfsgegevens of andere geheime informatie op het toestel wordt opgeslagen of vanaf het toestel wordt benaderd, bestaat het risico dat gebruikers gericht worden aangevallen door kwaadwillenden. Daarbij kunnen bekende kwetsbaarheden worden gecombineerd met fysieke toegang of kunnen zelfs onbekende kwetsbaarheden op afstand worden uitgebuit. De beveiliging die populaire MDM applicaties tegen dergelijke aanvallen kunnen bieden bijkt in de praktijk minimaal. Het is daarom aan te raden om gebruikers bewust te maken van de risico’s en dat zij melding maken van mogelijke incidenten. Gebruikers en beheerders kunnen zich verder beschermen tegen bekende kwetsbaarheden door altijd de meest recente versie van het iOS besturingssysteem te gebruiken.