Defcon: Angriff auf PocketPC-Smartphones mit MMS-Nachrichten

Kaum war die Black-Hat-Konferenz vorbei, wurden auf der sich anschließenden Hackermesse Defcon in Las Vegas neue Hiobsbotschaften verkündet. In seinem Vortrag "Advanced Attacks Against PocketPC Phones" zeigte Collin Mulliner von Trifinite, wie sich mittels einer manipulierten MMS ein Gerät mit Schadcode infizieren lässt. Anders als bei Handy-Würmern, bei denen der Anwender der Installation einer empfangenen SIS-Datei explizit zustimmen muss, nutzt Mulliners Angriff zwei Buffer Overflows im SMIL-Parser von WindowsCE aus. SMIL (Synchronized Multimedia Integration Language) beruht auf XML und legt fest, wie der Inhalt einer MMS-Nachricht im Client dargestellt wird.

Mulliner fand mit Hilfe von Fuzzing-Tools je einen Buffer Overflow bei der Verarbeitung des REGION- und des TEXT-Tags, mit dem sich auch die Rücksprungadresse auf dem Stack zum Starten des eingeschleusten Codes überschreiben ließ. Dabei genügt es, dass ein Opfer eine präparierte MMS zum Lesen öffnet. Zwar hat Mulliner noch weitere potenzielle Lücken in den MMS-Funktionen von WindowsCE gefunden. Die lassen sich seinen Angaben zufolge aber nicht aus der Ferne ausnutzen, weil dazu der MMS-Header manipuliert werden müsste. Derartige Nachrichten würden schon in den MMS-Gateways der Mobilfunkbetreiber stecken bleiben.

Microsoft und der Hersteller des MMS-Clients sind über die Probleme informiert und arbeiten an einer Lösung, die innerhalb der nächsten Wochen verfügbar sein soll. Zunächst müssten aber auch die OEMs das Update hinreichend testen, bevor es veröffentlicht wird.

Darüber hinaus stellte Mulliner noch das DoS-Tool NotiFlood vor, mit dem man per WLAN ein PocketPC-Smartphone über abzuholende MMS-Nachrichten informieren kann. Anders als bei SMS landet eine MMS nämlich nicht sofort auf dem Handy. Vielmehr wird der Nutzer darüber benachrichtigt, dass eine MMS zur Abholung bereitliegt. Das Tool erzeugt mehrere Hundert solcher Mitteilungen, was den Speicher eines Gerätes arg in Anspruch nimmt. (dab)