Aufsatz zur Analyse obligatorisch zu installierender „K-Sicherheits“-Apps
(syssec.kaist.ac.kr)Wer schon länger hier mitliest, hat vielleicht den Einführungsartikel von Wladimir Palant zu K-Sicherheit gelesen, den ich hier Anfang 2023 gepostet hatte.
- Der katastrophale Zustand der Online-Sicherheit in Südkorea
- Inoffizielle koreanische Übersetzung dieser Artikelserie
Dazu passend haben Forschende aus der koreanischen Sicherheits-Community kürzlich eine wissenschaftliche Arbeit sowie Demo-Videos zu Penetrationstests veröffentlicht, die diese Inhalte ergänzen.
Der Beitrag soll im August auf dem 34. USENIX Security Symposium in Seattle in den USA vorgestellt werden.
In der Arbeit werden K-Sicherheits-Apps (Korea Security Applications) als „KSA“ abgekürzt. Die ActiveX-basierte Ära wird als v1.0 bezeichnet, die Zeit nach dem Wechsel zu exe-basierten Lösungen seit 2015 als v2.0.
Die grundlegende Schlussfolgerung, dass schon die Struktur, solche „Sicherheitsprogramme“ zwangsweise auf den PCs der Nutzer zu installieren, selbst ein Sicherheitsrisiko darstellt, und dass sich dieses System trotz allem wegen struktureller Probleme nicht leicht auf einen Schlag abschaffen lässt, unterscheidet sich nicht stark von Wladimir Palants Artikelserie.
Einige Unterschiede gibt es aber doch. Während Wladimir Palants Beiträge vor allem Apps untersuchten, die bei Banking-Vorgängen installiert werden, erweitert diese Arbeit den Analysegegenstand auch auf Apps, deren Installation für bestimmte Aufgaben im Zusammenhang mit öffentlichen Einrichtungen vorgeschrieben ist. Insgesamt wurden in der Arbeit sieben Programme untersucht. Da sich K-Sicherheits-Apps ohnehin oft stark ähneln, sind Unternehmens- und Produktnamen zwar geschwärzt, aber wer sich auskennt, kann vermutlich grob ahnen, worum es geht. Jedenfalls wurden verschiedenste Schwachstellen gefunden: Es wurden Keylogging-Angriffe ausprobiert, Remote Code Execution demonstriert, mit Fuzzing Speicherfehler aufgespürt und Man-in-the-Middle-Angriffe getestet.
Bemerkenswert ist auch, dass eine Online-Umfrage unter Nutzern durchgeführt wurde. Das Ergebnis zeigt, dass es in der koreanischen Online-Umgebung zwar kaum Menschen gibt, die noch nie mit K-Sicherheits-Apps in Berührung gekommen sind, aber rund 60 % der Nutzer diese Apps einfach installieren, ohne überhaupt zu wissen, welche konkrete Funktion sie erfüllen.
Darüber hinaus wurden Freiwillige rekrutiert, um mithilfe von Hoax Eliminator v7.25 zu untersuchen, wie viele K-Sicherheits-Apps tatsächlich auf den PCs installiert sind, die vor allem von Menschen in ihren 20ern genutzt werden. Im Ergebnis waren durchschnittlich etwa neun K-Sicherheits-Apps installiert, davon rund vier aus dem Kreis der in dieser Studie untersuchten Anwendungen. Auf dem PC eines Teilnehmers wurden sogar ganze 24 gefunden. Bei mehr als der Hälfte der Teilnehmenden waren Versionen installiert, die seit über zwei Jahren veraltet waren; auf dem PC eines Teilnehmers wurden sogar App-Versionen entdeckt, die zum Zeitpunkt der Untersuchung bereits fünf Jahre alt waren.
Es ist immerhin sehr dankenswert, dass es Menschen gibt, die nützliche Werkzeuge wie das Tablecloth Project oder Hoax Eliminator öffentlich bereitstellen. Grundsätzlich sollte es aber idealerweise gar nicht erst nötig sein, solche Tools zu verwenden.
Wladimir Palants Analyse-Serie zu K-Sicherheits-Apps wurde Anfang 2023 veröffentlicht, und danach wurde bekannt, dass Nordkorea solche K-Sicherheits-Apps als Einfallstor für Angriffe genutzt hat. Trotzdem ist bis heute keine grundlegende Veränderung spürbar. Hoffentlich kommt es wenigstens ab jetzt zu einigen sichtbaren Veränderungen.
11 Kommentare
Persönlich habe ich das Tischdecken-Projekt ursprünglich auch deshalb entwickelt, weil mich das Sicherheitsprogramm von Firma A unglaublich genervt hat, da es ständig Konflikte mit meinen Entwicklungstools und Workloads verursachte. Ich hätte nie gedacht, dass es so viel Zuspruch und Interesse bekommen würde.
Als Open-Source-Softwareentwickler freut es mich, Menschen bei der Lösung ihrer Probleme geholfen zu haben. Gleichzeitig empfinde ich jedoch, wie der Autor angemerkt hat, auch ein starkes Bedauern darüber, dass Tischdecke in diesem derart deformierten Sicherheitsökosystem seit Jahren immer wieder zur Sprache kommt.
Wenn man sich in Gs Enzyklopädie die Spielebranche und die Suchtproblematik ansieht, kann man verstehen, wie und warum Regierung und Industrie so funktionieren.
Das Tischtuch-Projekt ist großartig.
Heutzutage breiten sich Sicherheitsprobleme explosionsartig aus; hoffentlich wird das auch in Korea zu einem Anlass, das Bewusstsein für Sicherheit zu schärfen.
Wenn es richtig knallt, werden sie uns wohl dazu bringen, noch mehr Sicherheits-Apps zu installieren.
Ich möchte diese Apps, die nicht der Sicherheit dienen, sondern nur der Verantwortungsabwälzung, wirklich nicht mehr sehen..
Die koreanische Regierung scheint fest davon überzeugt zu sein, dass sie Internetsicherheit besser kann als Google. Beruhigt sie sich also schon damit, das Ganze mit Apps von irgendwelchen Klitschen notdürftig abzuriegeln? Woher kommt dieses Selbstvertrauen überhaupt?
Den Gura-Entferner habe ich schon oft genutzt, aber vom Tischdecken-Projekt höre ich zum ersten Mal – ein wirklich großartiges Programm.
Vielen Dank für den guten Artikel.
Tablecloth ist wirklich ein ziemlich gutes Programm. Diese selbsternannten Sicherheits-Apps hinterlassen einfach viel zu viele Rückstände.
Es ist zwar schon einige Jahre her, aber es gab auch welche, die nach einer Deinstallation und anschließenden Neuinstallation Fehler verursachten.
Es ist großartig, das alles in einer Sandbox zu erledigen und anschließend komplett zu löschen.
[Exklusiv] „Werft die gesamte installierbare Sicherheitssoftware raus!“ ... Finanzbranche in Yeouido wegen Regierungsanweisung in ‚Panik‘
https://www.boannews.com/media/view.asp?idx=142897
Wie viel mehr von den K-Sicherheits-Apps wird man dieses Mal wohl noch abschaffen können?