quishing - eine unterschätzte Gefahr vor allem für alte Mobiltelefone

[RSKBerlin]

Hintergrund: Vorsicht, Quishing! Diese Phishing-Variante arbeitet mit Fotos statt Links.

Warum erwähne ich das? Zwei Gründe:

1. QR-Codes werden beim Cachen häufig verwendet. Gleichzeitig kennen die wenigsten mir bekannten Cacher quishing und die mit ihm einhergehenden Gefahren.
2. Viele (genauer: fast alle) mir bekannten Cacher haben veraltete Mobiltelefone mit ebenso häufig völlig veralteter Firm- oder Software.

Beides zusammen ist ein Unfall, der nur darauf wartet, zu geschehen. Daher meine dringende Empfehlung, beim Scannen von QR-Codes größtmögliche Vorsicht walten zu lassen - und die Firm-/Software entweder auf einem aktuellen Patchstand zu halten oder die Geräte zu entsorgen [mein über acht Jahre altes OnePlus One ist auf dem aktuellen Patchstand und hat aktuelle Software].

 

[baer2006]

Ich scanne QR-Codes nie mit einer App, die Links ggf. selbstständig im Browser öffnet. Machen das die üblichen Fotoapps so? Ich nehme immer eine dedizierte QR-Reader-App (i.a. QR-Droid), und die zeigen mir immer erst den gelesenen Content im Klartext an. Wenn es ein Weblink ist, kann ich drauf klicken (wenn die URL unverdächtig ist), muss es aber nicht.

Im Geocaching-Kontext liefern die meisten QR-Codes "im Feld" erfahrungsgemäß eh keinen Link, sondern explizite Koordinaten o.ä.

 

[Staffy]

"Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden"
Ich sehe in dem Artikel keinen Hinweis, dass aktuelle Software/Firmware hilft.
Eher Augen offen halten, keine eigenen Daten eingeben und nicht alles automatisch runterladen (oder gar öffnen).

 

[RSKBerlin]

Machen das die üblichen Fotoapps so?

Ja. iPhone, bei Android kommt es auf die Geschmacksrichtung an. Samsung hat das eine ganze Weile, mein AOSP auch.

Im Geocaching-Kontext liefern die meisten QR-Codes "im Feld" erfahrungsgemäß eh keinen Link,

Kann ich so nicht bestätigen, hängt aber natürlich von der Art der gesuchten Caches ab.

Eher Augen offen halten, keine eigenen Daten eingeben und nicht alles automatisch runterladen (oder gar öffnen).

Wofür steht RCE? Ernstgemeinte Frage.

[Edit] Und zum Thema "genau hingucken" nur soviel:

For example, https://www.blazeinfosec.com and https://www.blаzeinfosec.com in ASCII will be:

https://www.blazeinfosec.com
https://www.blаzeinfosec.com

 

[Staffy]

Wofür steht RCE? Ernstgemeinte Frage.

Muss man die Abkürzung jetzt kennen?
Wenn die Frage ernst gemeint wäre, wäre die Antwort nicht in dem genannten Link. Also ist sie es offensichtlich doch nicht. Falls es die Frage war:ich kannte das nicht.
Wenn ich den Text richtig verstehe, müsste immer noch eine App (allerdings ohne besondere Berechtigungen) diese Sicherheitslücken ausnutzen. Ist aber nicht so klar ausgeführt.
Soweit ich das verstanden habe, müsste man durch die Kapselung von Apps entweder eine schadhafte App beim Nutzer unterbringen oder eine bestehende App durch Sicherheitslücken kapern (und dadurch dann Sicherheitslücken des Systems mithilfe der App ausnutzen).
Wenn ich mich da vertun sollte, freue ich mich über ein konkretes Gegenbeispiel.

[Edit] Und zum Thema "genau hingucken" nur soviel:

Der 2. Link wird bei mir so angezeigt:
https://www.xn--blzeinfosec-zij.com/
Der andere Link sieht normal aus.

 

[RSKBerlin]

Wenn ich den Text richtig verstehe, müsste immer noch eine App (allerdings ohne besondere Berechtigungen) diese Sicherheitslücken ausnutzen

Schau mal in Android Security Bulletin—December 2023 rein. Dort findest Du eine sog. Zero-Click RCE. Du scannst den QR-Code, gehst auf die Webseite - und Dein Smartphone ist kompromittiert. Mehr ist dazu nicht nötig.

Pack da noch die homografische URL drauf, und Du hast eigentlich keine Chance mehr.

Und ja, so ein professioneller Angriff ist selten, aber eben nicht auszuschließen. Das war schon alles, worauf ich hinweisen wollte.

Oh, und diesen Phishing-Test von Google kann ich nicht genug empfehlen. Vor allem am Smartphone.

 

[pikachu]

Wofür steht RCE? Ernstgemeinte Frage.

RCE? Remote Code Execution. Also nichts neues.
https://de.wikipedia.org/wiki/Remote_Code_Execution

 

[RSKBerlin]

Also nichts neues.

Korrekt. Aber das hat auch niemand behauptet.

Spoiler: Off-Topic

Ich bin nur gerade in einem Land, in dem sehr viel mit QR-Codes gearbeitet wird, weshalb dort Menschen vom Staat darauf aufmerksam gemacht werden, dass der Feind solche Angriffe verstärkt nutzt. Nun herrscht in Deutschland offiziell noch kein Krieg, jedoch verschlechtert sich die Cyber-Sicherheitslage auch bei uns seit Jahren - nicht zuletzt, weil die Angreifer auf eine Bevölkerung treffen, die in IT- und Informationssicherheit faktisch Analphabetin ist.

Allerdings hat das jetzt nichts mehr mit dem ursprünglichen Beitrag zu tun, ich erwähne es nur der Vollständigkeit halber.

 

[Mausebiber]

Was würde denn passieren, wenn mein smart phone infiziert werden würde?

Kann ich noch telefonieren?
Kann ich noch die AL app aufrufen und spielen?
Kann ich noch whatsapp empfangen und senden?
Kann ich noch c:geo aufrufen und nutzen?
Kann ich noch GC Wizard nutzen?

 

[schatzi-s]

Wenn man damit WhatsApp abschaffen koennte, wuerde ich die QR Codes sogar weiter verteilen ;-)

Im Ernst: Was am Ende mit einem kompromittierten Geraet (nicht nur Fon) gemacht wird, kann niemand mit Gewissheit sagen. Moeglichkeiten gibt es unendlich. Deine Beispiele wuerde mich nicht wirklich stoeren, mehr Sorgen macht mir der Verlust von Daten (ja, ich weiss: Kein Backup, kein Mitleid) und noch viel mehr deren Weitergabe.

Auf den meisten Handys sind Informationen, die man nicht unbedingt in fremden Haenden wissen moechte.

Stell Dir vor, jemand ist mit Deinem entsperrten Handy eine Weile alleine. Wuerde Dir das gefallen?

Ueberlege mal, was da alles drauf ist:
Kontakte, Korrespondenzen, Fotos, Browserverlauf, vielleicht noch Passwoerter fuers Banking/ Shopping/ Kreditkarte? Und wenn sie nicht gespeichert sind, dann wird halt alles mitprotokolliert und auf einen Server geladen. Und wenn man schonmal die Hardware unter Kontrolle hat, kann man auch noch Mikrofon und Kamera aktivieren?!

Und wenn man schonmal Deine Mails hat, dann kann man auch Deine Konversationen weiterfuehren und bei der Gelegenheit gleich einen boesen Link mit einfuegen. Welcher Empfaenger kontrolliert schon genauer die Antwort auf seine eigene Frage? Da wird schnell mal ein Link angeklickt, den man von Fremden ignoriert haette ... und damit ist das naechste System infiziert und es gibt ein neues Opfer, das erpresst oder dessen Identitaet gestohlen werden kann ...

 

[pikachu]

Auf den meisten Handys sind Informationen, die man nicht unbedingt in fremden Haenden wissen moechte.

Das ist das Hauptproblem.
Allerdings glauben die meisten das nicht, wenn man es ihnen sagt.
"Ich habe doch nichts zu verbergen?" ...

 

[Mausebiber]

Stell Dir vor, jemand ist mit Deinem entsperrten Handy eine Weile alleine. Wuerde Dir das gefallen?

Nein, würde mir nicht gefallen, aber...
das können CIA, Homeland, Bundesnachrichtendienst, Verfassungsschutz und ähnlich Organisationen schon seit Jahren, und keinen interessiert das.

 

[schatzi-s]

"Ich habe doch nichts zu verbergen?" ...

Eine sehr naive Einstellung ...
Ich empfehle das Buch "Zero, sie wissen was Du tust" von Marc Elsberg". Ich habe es vor einigen Jahren gelesen. Am Anfang dachte ich, dass das doch sehr unrealistisch waere. Wer laesst sich z. B. schon von einer App sagen, was er zu tun hat?! Und wieso sollte man Menschen auf eine Zahl reduzieren?!
Zwei Tage spaeter sagte mir eine Freundin, dass sie ihre Schritte/ Tag erhoeht haette, weil ihre App das so wollte ... und Scoring ist nicht nur bei der SchuFa gang und gaebe (wie weit das gehen kann, sieht man in China). Oder Leute haengen sich Beschleunigungsmesser ins Auto, damit die Versicherung jederzeit ueber ihre Fahrweise informiert ist ...

Ich denke, dass wir "Normalsterblichen" uns gar nicht vorstellen koennen, was man alles mit Daten machen kann und warum es sich lohnt, sie zu haben. Wenn jemand 19.000.000.000 Dollar fuer WhatsApp bezahlt, dann will er das Geld irgendwie moeglichst vermehrt zurueck haben.

Was das "ich habe doch nichts zu verbergen" im Kleinen angeht: Dazu gab es mal einen Versuch in den Niederlanden. Man hatte die Auswahl, ob man fuer seinen Kaffee den normalen Preis bezahlen wollte oder dem Verkaeufer stattdessen einen Blick ins Handy ermoeglichte. Fast alle Leute waren entruestet und haben bezahlt, im selben Moment hatten sie aber diverse kostenlose Apps auf dem Handy, die Zugriffsrechte hatten, die fuer die eigentliche Aufgabe nicht noetig sind (wofuer braucht eine Taschenlampenapp Zugriff auf Daten und Kontakte?!).
Aber vermutlich ist es vielen Leuten egal, was man in der Ferne ueber sie weiss, solange der Nachbar es nicht erfaehrt ...

Wer ernsthaft meint, dass er nichts zu verbergen hat, moege mir eine Kopie seines Wohnungsschluessels geben. Ich werde auch nichts mitnehmen, mich nur ab und zu etwas umsehen und vielleicht mal das eine oder andere Paket dort zwischenlagern.

@Mausebiber
Der Hinweis auf die Geheimdienste ist zwar richtig, hinkt aber in meinen Augen. Hier geht es (noch?) darum, die Daten von Verdaechtigen zu ueberpruefen und dafuer zu sorgen, dass meine Rechte wie wie Freiheit, Unversehrtheit geschuetzt werden.

Bei einem gehackten Telefon geht es um das Gegenteil: Hier wird der unbescholtene Buerger zum Opfer krimineller Machenschaften.

 

[RSKBerlin]

"Ich habe doch nichts zu verbergen?" ...

Folgendes Szenario: Nutzer A verwendet ein Smartphone, dessen Firmware längst EoL überschritten hat. Beim Geocaching scannt A einen QR-Code, der eine Website öffnet [man könnte hier noch einen MITM-Angriff hinzufügen, bei dem A, wie knapp 90% aller Nutzer, die "Achtung, dieses Link führt auf eine gefährliche Seite!"-Warnung ignoriert], welche dergestalt präpariert ist, dass sie As Smartphone unter die vollständige Kontrolle des Angreifers bringt.

Zwischenbemerkung: Das ist ein nicht unübliches und mittlerweile recht weit verbreitetes Szenario. Wer glaubt, von ihm nicht potentiell betroffen zu sein, irrt.

Nachdem der Angreifer nunmehr As Smartphone vollständig unter seiner Kontrolle hat, macht er mehrere Dinge:

1. Er nutzt das Smartphone, um sämtliche Nutzer, die ebenfalls auf dem Smartphone gespeichert sind, glaubhaft (überall dort, wo keine MFA notwendig ist, hat der Angreifer Zugriff in der Art, dass man ihn nicht vom B unterscheiden kann) zu kontaktieren und dabei deren Geräte zu übernehmen.
2. Er nutzt die im Browser gespeicherten Zahlungsdaten (umso einfacher, wenn der zweite Authentifizierungsfaktor immer noch SMS ist, weil der Angreifer dann nicht einmal an die OTP-App heran muss) für Spenden an Terrorgruppen und zum Kauf von kinderpornografischem Material.
3. Er verkauft den Zugang an Nachrichtendienste feindlicher Staaten, die As Identität und Daten zur aktiven Bekämpfung liberaler Demokratien nutzen.

Schlussbemerkung: Wer glaubt, die o.g. Beispiele seien maßlos übertrieben, irrt. Ich habe sie noch nicht alle drei gleichzeitig gesehen, aber bereits mehrfach zwei von ihnen. Deshalb stellt sich die Frage "Wen interessieren meine Daten?" einem verantwortungsbewussten Nutzer nicht, sondern stattdessen die Frage "Kann ich mich und andere schützen, und falls ja, wie?"

 

[RSKBerlin]

Der Hinweis auf die Geheimdienste ist zwar richtig

Ist er nicht. "CIA, Homeland, Bundesnachrichtendienst, Verfassungsschutz und ähnlich Organisationen" können das eben nicht (jederzeit, sofort, und ohne Auftrag oder richterlichen Beschluss). Client-Side-Scanning (ugs. "Chatkontrolle") ist da schon eine andere Hausnummer, aber auch diese würde sich in einem eng abgesteckten rechtlichen Rahmen bewegen (aber eben eine potentielle Lücke epischen Ausmaßes für illegale(!) Nutzung aufreißen).

Oder Leute haengen sich Beschleunigungsmesser ins Auto, damit die Versicherung jederzeit ueber ihre Fahrweise informiert ist ...

In Italien sind diese in Verbindung mit GPS-Trackern sehr beliebt. Seitdem sie weite Verbreitung gefunden haben, ist die Zahl der willkürlich zwecks Versicherungsbetrug herbeigeführten Kfz-Unfälle messbar gesunken. Wie fast alles im Bereich der Datenanalysen gibt es Licht und Schatten.

 

[schatzi-s]

@RSKBerlin Stimmt, der "Bundestrojaner" (eigentlich fuer Computer) kann erst nach richterlichem Beschluss eingesetzt werden und der Trjoaner muss auch erstmal installiert werden. Wobei er sicherlich schon durch Zeroexploids abgeloest wurde.
Trotzdem moechte ich daran erinnern, dass die USA (NSA) vor einigen Jahren Angela Merkels Handy abgehoert haben, weil sie eine daenische Abhoerstation nutzen konnten.

Wer glaubt, dass QR Codes beim Cachen sicher sind eine kleine Anekdote aus der Nachbarschaft: Irgendein "Spassvogel" hatte hier bei einem Multi ein Laminat mit Koordinaten ausgetauscht. Das waren zwar "nur" Koordinaten, zeigt aber deutlich, dass nichts vor Manipulation sicher ist. Daher kann ich hier nur den oben bereits gegeben Tipp wiederholen: QR Codes immer erst auslesen und kontrollieren, bevor man darin enthaltene Links aufruft (z. B. mit der App QRDROID). Und die Bitte an die Owner: Nutzt bitte den kompletten und lesbaren Link (z. B. vom Geocacheplaner) und kuerzt den nicht auf irgendwelche kryptische URLs, von denen keiner weiss, wo sie enden.

 

[Mausebiber]

Der Hinweis auf die Geheimdienste ist zwar richtig, hinkt aber in meinen Augen. Hier geht es (noch?) darum, die Daten von Verdaechtigen zu ueberpruefen und dafuer zu sorgen, dass meine Rechte wie wie Freiheit, Unversehrtheit geschuetzt werden.

Ist er nicht. "CIA, Homeland, Bundesnachrichtendienst, Verfassungsschutz und ähnlich Organisationen" können das eben nicht (jederzeit, sofort, und ohne Auftrag oder richterlichen Beschluss).

Ach ja, stimmt, man braucht je einen richterlichen Beschluss. Weshalb war denn Frau Merkel so entsetzt und meinte, Telefonieren auszuspähen unter Freunden gehe gar nicht? Hatten den die Amerikaner einen Beschluss? Das wurde bekannt, was alles geht wohl, ohne dass das jemand erfährt.

Ich halte die Vorstellung, dass die Geheimdienste auf einen Beschluss warten für ziemlich naiv, und dass die das nicht benutzen, um auch mal die Gesinnung zu überprüfen ebenfalls.

Aber wir weichen vom Thema ab.

 

[RSKBerlin]

Hatten den die Amerikaner einen Beschluss?

De iure nicht, wie sich herausstellte.

Ich möchte dennoch darum bitten, dass wir beim Thema bleiben. Unsubstantiierte Behauptungen über Geheimdienste führen hier nicht weiter - es geht primär um kriminelle Angriffe (die Grenzen zwischen den Tätern können selbstverständlich fließend sein, aber die Wahrscheinlichkeit, dass sich ein Nachrichtendienst der Mühe unterzieht, Geocacher zu überwachen, ist... eher gering) gegen Privatpersonen.

 

[Fadenkreuz]

CIA, Homeland, Bundesnachrichtendienst, Verfassungsschutz und ähnlich Organisationen" können das eben nicht (jederzeit, sofort, und ohne Auftrag oder richterlichen Beschluss).

Das ist aber jetzt arg naiv. Insbesondere die amerikanischen Dienste haben sich einer staatlichen Kontrolle schon lange entzogen. Da wird nicht auf einen richterlichen Beschluss gewartet, da wird einfach gemacht, was technisch geht. Und da muss man doch nicht den uralten Fall des abgehörten Merkel-Handys aufwärmen. Die Daten an die NSA gibst du einerseits freiwillig raus ohne es zu merken oder zu wissen, andererseits werden die Daten direkt an Netzknoten ausgeleitet. Und dieses Abhören findet sogar auf deutschem Boden statt (Bad Aibling, Dagger-Complex usw.)