Home

Android/ActiveSync Certificate Issues

Details: Category: Misc; Published on Tuesday, 09 April 2013 16:58; Written by Thomas Skora; Hits: 402

In the last weeks I started to migrate several cloud-based services I used to my own server. The motivation behind it was the discontinuation of Google Reader (btw Tiny Tiny RSS is an excellent replacement), another one the general indisposition in storing my personal data on foreign servers - but that's not the topic of this post ;-)

After the RSS reader the next targets were my calendar and contacts. I decided to use Horde and its integrated ActiveSync support to synchronise with my mobile devices. I tried to configure the Horde installation as Exchange account on my Android devices and here the problem began - the certificate was not accepted. I tried several different constellations: self-signed, own root ca imported in the trust store or even integrated in the system store in /etc/ssl/cacerts and finally an "official" certificate from StartSSL. All attempts failed.

An advice I've often seen in the Internet while searching a solution was the activation of the "Accept all SSL certificates" option - not the solution someone wants who cares about security. It makes the usage of TLS/SSL almost pointless. After reading some forum postings regarding certificate issues it seems that this advice is followed even in some corporate environments. I'm quite sure there is a number of mobile devices out here, which don't care about the identity of their Exchange or ActiveSync server. Definitely a point pentesters should check while auditing the security of mobile devices of their customers.

Finally Wireshark helped me to find the cause of the issue. The Android ActiveSync client doesn't uses the TLS server name indication extension to communicate with the ActiveSync endpoint, such that the web server can't choose the correct certificate and picks the default one, which was an unexpected certificate in my case.

Was treibt Shazam da?

Details: Category: Vulnerabilities; Published on Tuesday, 19 July 2011 09:25; Hits: 7609

Vor einiger Zeit fiel mir auf meinem Android-Smartphone auf, dass es etwa ein mal die Stunde beim Entsperren des Geräts einen GPS-Fix durchführte. Dieses Verhalten konnte ich mir nicht wirklich erklären, weil ich während dessen und auch zuvor keine Navigationssoftware, Maps oder sonstiges genutzt hatte, was auf meine GPS-Position zugreift. Glücklicherweise wurde in dieser Zeit auch der LBE Privacy Guard veröffentlicht - übrigens ein Stück Software, dass ich jedem technisch und an seiner Privatsphäre interessierten Android-Nutzer mit gerootetem Gerät nur empfehlen kann. Mit Hilfe des LBE Privacy Guards konnte der Übeltäter schnell ausgemacht werden: die Musikerkennungs-Software Shazam.

Nun war die Neugierde geweckt und ich musste herausfinden, was Shazam damit macht und ob sich diese Verhaltensweise irgendwie beeinflussen lässt. Die erste Vermutung war, dass Shazam oder eine darin enthaltene Ad- bzw. Spyware in regelmäßigen Abständen die aktuelle Position des Nutzers erfasst und überträgt.

Erste Untersuchung

Mit Hilfe einer meiner WRT-Router sniffte ich den Datenverkehr zwischen Smartphone und Internet, während ich etwas mit Shazam rumspielte. Hier zeigte sich, dass es bei der Erkennung von Musikstücken neben der dafür benötigten Daten auch eine Device-ID, sowie die aktuelle Position an Shazam und den Ad-Service AdMarvel versendet wurde. Die Übertragung der Positionsdaten an Shazam ließ sich durch das Abschalten der "Position mittaggen"-Option unterbinden.

Langzeit-Analyse

Während des Sniffens am Router kam es leider nicht dazu, dass Shazam beim Entsperren des Geräts versuchte auf meine Position zuzugreifen. Also ließ ich auf dem Androiden ca. 20 Stunden lang einen tcpdump laufen, der sämtlichen Traffic protokollierte und zahlreiche Standortbestimmungen von Shazam mitbekam.

Nachdem der Standort durch den Shazam-Prozess bestimmt wurde, wird dieser an die URL http://ads.admarvel.com/fam/androidGetAd.php per POST gesendet:

&site_id=14488&partner_id=ef8a30b841b36346&timeout=5000&version=1.5&language=java&format=android
&sdk_version=2.1.23&sdk_version_date=2011-06-28&device_model=HTC Desire&device_name=FRF91
&get_cached_ads=true&device_systemversion=2.3.4&resolution_width=480&max_image_width=480
&resolution_height=800&max_image_height=800&device_os=Android
&target_params=...

Der Parameter target_params enthält URL-Encoded folgendes:

appv=>com.shazam.android||
loc=>xx.xxxxxxxx%2Cx.xxxxxxxx||
co=>DE||
screenorient=>p||
appvn=>3.2.1-BB70972||
osv=>2.3.4

Man sieht, dass hier unter anderem der Standort, Gerätetyp, Android-Version, Bildschirmausrichtung und -auflösung versendet werden. Identifier, die eine eindeutige Zuordnung des Geräts erlauben scheint es nicht zu geben. Die beiden Parameter site_id und partner_id wirken vom Namen her nicht wie eindeutige Geräte-IDs.

Und nun?

Tatsache ist, dass über Shazam die aktuelle Position neben anderen Daten an AdMarvel übermittelt wird. Das erfolgt in regelmäßigen Abständen von 1-2 Stunden anonymisiert, beim Taggen wird der Benutzer mit einer eindeutigen Geräte-ID identifiziert. AdMarvel erhält in jedem Fall den Standort, unabhängig davon, ob man die Standortbestimmung in Shazam aktiviert hat.

In der FAQ steht davon nichts. In den Nutzungsbedingungen wird das Thema "Location Based Services" aufgegriffen, allerdings nur für den Musikerkennungsdienst selbst. Werbung und deren Handhabung mit Standortdaten wird gesondert behandelt. Von einem regelmäßigen Versenden der Standortdaten konnte ich beim überfliegen der Nutzungsbedingungen nichts finden.

Ich habe an sich nichts gegen Werbeeinblendungen in Apps, irgendwo muss sich die Entwicklung auch lohnen. Mir ist auch bewusst, dass Standortdaten vom Mobilfunker und Google erfasst und verarbeitet werden. Dem habe ich aber irgendwo mal explizit zugestimmt und bin mir dessen ständig bewusst bzw. es fließen für mich wertvolle Informationen wie präzise und aktuelle Staumeldungen zurück. Ein ungefragtes regelmäßiges versenden der Position an einen Werbedienstleister geht mir dann aber doch etwas zu weit, auch wenn es anonym erfolgt. Deswegen ist Shazam jetzt auch dauerhaft von meinem Androiden runtergeflogen ;)

Rest-Traffic

Der Mitschnitt war nicht nur wegen Shazam erkenntnisreich, es gab auch ein paar andere interessante Beobachtungen. Die werde ich hier demnächst auch mal zusammenfassen.

XSS im Banking-Bereich von Cortal Consors

Details: Category: Vulnerabilities; Published on Sunday, 10 July 2011 23:09; Hits: 2348

Vor ein paar Wochen hab ich mich mal der Webseite des Online Brokers Cortal Consors gewidmet und dort, während ich eingeloggt war, nach Schwachstellen gesucht. Ich war dann doch erstaunt, dass ich in so einem sensiblen Bereich bereits nach wenigen Minuten fündig wurde und dort eine Cross-Site Scripting-Schwachstelle ausfindig machen konnte. Im Online-Archiv kann man die dort hinterlegten Dokumente unter anderem nach WKN filtern. Gab man dort etwas ein, womit das System nichts anfangen konnte, dann wurde diese Eingabe ungefiltert wieder ausgegeben. Kleingeschriebenes wird zwar in Großbuchstaben umgewandelt, einem erfolgreichen Cross-Site Scripting steht das aber nicht im Wege. Kurze Zeit später stand der PoC, mit dem die Sicherheitslücke demonstriert werden konnte:

XSS bei Cortal Consors

Da das betroffene Formular kein CSRF-Token aufweist, hätte diese Sicherheitslücke auch über Cross Site Request Forgery ausgenutzt werden können. Dies unterstreicht meine Sichtweise, dass auch Formulare welche keine Zustandsänderung der Webanwendung bewirken, wie z.B. Suchfunktionen, mit einem CSRF-Token abgesichert werden sollten, um genau solche Schwachstellen nicht von außen Ausnutzbar zu machen.

Die Schwachstelle habe ich umgehend (am 21.06.) gemeldet und aufgrund der aus meiner Sicht hohen Kritikalität um schnelle Behebung gebeten. Irgendwann um den 04.07. herum war sie dann behoben. Seitdem ist man sofort ausgeloggt, wenn man im OnlineArchiv nach WKNs sucht, die z.B. das Zeichen "<" enthalten :-)

Neue Fotos aus Krefeld und dem Ruhrpott

Details: Category: Website; Published on Sunday, 23 May 2010 00:48; Hits: 5103

Nachdem die Seite schon einige Monate vernachlässigt wurde, hier ein paar neue Fotos aus Krefeld und Umgebung. Ich spar es mir diesmal, die Kategorien und Bilder direkt zu verlinken und verweise auf die "Zuletzt hinzugekommen"-Funktion der Galerie.

Ab jetzt werde ich übrigens nicht mehr pauschal jedes Bild hier hochladen, sondern beschränke mich auf die besonders gelungenen. Klasse statt Masse sozusagen ;-) Oft handelt es sich um Bilder, bei denen ich die "Entwicklung" nicht der Kamera überlassen hab, sondern mich selbst an die Rohdaten herangetraut habe.

Page 1 of 2

Start
Prev
1
2
Next
End

Thomas Skora Personal Website - all content published here is my personal opinion or work and not affiliated with my employer in any manner.

Nav view search

Navigation

Search