Diese Apps bieten u.a. Funktionen zur Filterung der im Browser aufgerufenen Webseiten. Um eine Kategorisierung einer Webseite vorzunehmen, wurde die aufgerufene URL – außer bei ESET Parental Control – an einen Webservice des App-Herstellers gesendet. Benutzer dieser Apps sollten sich also im Klaren darüber sein, dass das Surfverhalten des Anwenders preisgegeben wird. Darüber hinaus waren die Apps von Symantec und Sophos anfällig für Man-in-the-Middle-Angriffe, da die Kommunikation zum Webservice des Herstellers unverschlüsselt erfolgte. Symantec Norton Family versendete die URL sogar im Klartext (CVE-2017-15530), während Sophos Mobile Security die URL lediglich mit ROT13 "verschlüsselt" versendete (CVE-2018-6325).
Außerdem befanden sich in allen untersuchten Apps grobe Fehler in der Verarbeitung von Intents, die zum Absturz der Apps führten. Durch den Absturz der Apps wurden die konfigurierten Kontrollmechanismen temporär außer Kraft gesetzt (CVE-2017-15529, CVE-2018-6326, CVE-2018-6327).
Ebenso konnten der Safe Mode von Android, die Mehrbenutzerfunktionen oder die Debug-Schnittstelle adb verwendet werden, um die Apps zu umgehen. Kaspersky Safe Kids ließ sich auf triviale Art umgehen, indem ein anderes Benutzerprofil ausgewählt wurde. ESET Parental Control verhinderte dies, indem es die Mehrbenutzerfunktionalität gänzlich außer Kraft setzte. Lediglich Symantec Norton Family wies Eltern darauf hin, wie das Gerät eingerichtet werden muss, um solche Angriffe zu verhindern.
Generell lässt sich sagen, dass viele Funktionen dieser Apps mit dem Sicherheitsmodell der Android-Plattform kollidierten. So konnte eine Dritthersteller-App beispielsweise die eigene Deinstallation nicht effektiv verhindern.
Eventuell verstößt das Verhindern der Deinstallation sogar gegen die Android-Entwicklerrichtlinien. Ohne ein Verhindern der Deinstallation können Kontrollfunktionen aber nicht aufrechterhalten werden.
Anwendern, die ihr Android-Gerät schützen möchten, wird empfohlen, einen sicheren Lockscreen zu konfigurieren und die Funktionen Find My Device (Diebstahlschutz) und Play Protect (Integrität des Gerätes) zu aktivieren.
Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit, das seine Kunden im deutschsprachigen Raum berät. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Managementberatung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), Durchführung von Audits und Penetrationstests, Incident Response und Forensik sowie Konzeption, neutrale Evaluation und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring Your Own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe. Darüber hinaus bietet cirosec seinen Kunden innovative Trainings, in denen die versierten Berater den richtigen Umgang mit modernen Technologien und neuen Sicherheitsthemen vermitteln.
cirosec GmbH
Ferdinand-Braun-Straße, 4
74074 Heilbronn
Telefon: +49 (7131) 59455-0
Telefax: +49 (7131) 59455-99
http://www.cirosec.de
Leitung Marketing
Telefon: +49 (7131) 59455-60
Fax: +49 (7131) 59455-99
E-Mail: daniela.strobel@cirosec.de
