Menü

Der Smartphone-Bot, der mit dem App-Update kam

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 241 Beiträge
Von

Derek Brown und Daniel Tijerina von TippingPoint haben auf der RSA-Konferenz die Ergebnisse eines Versuchs vorgelegt, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones und per Jailbreak modifizierten iPhones bringen lässt: Die Sicherheitsexperten hatten mit WeatherFist eine Anwendung programmiert, die vordergründig nichts anderes macht, als das Wetter am Aufenthaltsort anzuzeigen.

Dazu schickt die App die per GPS ermittelte Position an einen Server, der die Koordinaten in die Postleitzahl des Aufenthaltsortes umwandelt und dann an weatherunderground.com schickt. Die App zeigt anschließend schlicht die von dieser Site übermittelten Wetterdaten an. Im Hintergrund könnte WeatherFist jedoch das Smartphone übernehmen und Kurznachrichten oder das Adressbuch auslesen sowie eine Reverse Shell zum Zugriff aus der Ferne öffnen. Auch ließe sich den Entwicklern zufolge ein SMTP-Server an einen Netzwerk-Socket binden und so beispielsweise Spam versenden – ein klassisches Botnetz wäre geschaffen.

Anders als der erste iPhone-Wurm ikee, der sich über das Mobilfunknetz verbreitet, haben Brown und Tijerina einen anderen Weg gewählt, um ihre Software auf die Smartphones zu schicken: Die Experten haben die Anwendung in verschiedensten App-Sammlungen wie ModMyi.com und SlideME untergebracht und zählten binnen eines Monats fast 8000 Installationen von iPhone- und Android-Anwendern. Innerhalb der ersten 24 Stunden sollen es bereits knapp 1900 Installationen gewesen sein. Das nach wie vor im Netz zu findende WeatherFist bringt aus Sicherheitsgründen natürlich keine der schädlichen Funktionen mit.

Auf der RSA-Konferenz haben die Forscher jedoch die potenziellen Malware-Fähigkeiten mit einer erweiterten Version namens WeatherFist BadMonkey vorgeführt, die aber nicht veröffentlicht wird. Im Gespräch mit heise security erklärten Brown und Tijerina, dass sie, wären sie Cracker, die bösartige Version binnen kürzester Zeit über eine automatische Update-Funktion auf die Smartphones schicken können. Die bereits bei der Installation von WeatherFist von den Anwendern freigegebenen Zugriffe auf das GPS-Modul, das Dateisystem des Smartphones und des Netzwerk-Stacks würden einfach beibehalten – ideale Voraussetzung für Malware.

Ihrer Ansicht nach hätten die Betreiber der Online-App-Sammlungen schon beim harmlosen WeatherFist stutzig werden müssen. Denn die Anwendung schickt beispielsweise die GPS-Daten völlig unnötig an den Server: Die Smartphones bringen eigene APIs hierfür mit. "Offenbar hat sich keiner den Code wirklich genau angesehen. 20 Minuten nach Einsenden der App war die Software im Store online. Von daher wird bei einem Update auch keiner mehr stutzig werden. Egal, wie viel schädlicher Code darin verborgen ist", betont Brown.

Einzig Apples AppStore böte einen gewissen Schutz vor bösartigen Anwendungen. Hier gebe es laut Brown und Tijerina rigorose Checks des Sourcecodes auf mögliche Sicherheitsprobleme durch Buffer Overflows, Copyright-Verstöße sowie erlaubte Protokolle und APIs. Angesichts solch tiefgreifender Checks würden Brown zufolge bösartige Funktionen, die sich hinter einer vermeintlich harmlosen App verstecken, sicher sofort auffallen. Updates würden nach den gleichen strengen Kriterien getestet. Bei Google sei man weniger gründlich, sagten die Sicherheitsexperten. Dort verlasse man sich offenbar auf die Wachsamkeit der Community. Zuletzt hatte es jedoch schon ein Banking-Trojaner auf Googles Android Market geschafft, der Anwendern die Login-Daten für Banken stehlen wollte.

Das Fazit der Experten ist so simpel wie wahr: Smartphone-Anwender sollten Anwendungen nur aus vertrauenswürdigen Quellen beziehen. Leider gebe es derzeit außer Apples AppStore keine Sammlungen, die Anwendungen ähnlich gründlich unter die Lupe nehmen.

Siehe dazu auch:

(Uli Ries) / (dab)