Ausspähung per App

Black Hat 2010: Anfälligkeit von Android demonstriert

Auf der Sicherheitskonferenz Black Hat haben Forscher gezeigt, dass Mobiltelefone mit dem Betriebssystem Android Schwachstellen aufweisen, die eine komplette Übernahme der Kontrolle über das Gerät ermöglichen.

Da Android-Geräte bei Hacker-Wettbewerben wie Pwn2own bislang ungeschoren davon gekommen sind, galten sie als Hacker-sicher - zu Unrecht, wie sich heraus stellt. Auf der Sicherheitskonferenz BlackHat 2010 in Las Vegas haben Forscher des Sicherheitsunternehmens Lookout gravierende Schwachpunkte von Android OS aufgedeckt.

In seiner Präsentation hat John Herring, Chef von Lookout Mobile Security, die Android App "Jackeey Wallwaper" erwähnt, die mehrere Millionen Nutzer herunter geladen haben. Sie spähe Passwörter, den Browser-Verlauf, SMS sowie Kundennummer und SIM-Kartennummer des Mobiltelefons aus und sende sie an einen Server in China.

Anthony Lineberry, Sicherheitsforscher bei Lookout, hat in einem weiteren Vortrag auf der Konferenz erklärt, Android sei wegen Sicherheitslücken in Linux, auf dem Android basiert, sehr wohl angreifbar. Mit Angriffen auf Linux-Schwachstellen könne ein Angreifer die vollständige Kontrolle übernehmen und tun, was er wolle. Das Ansehen als Hacker-sicher, das Android genieße, sei völlig übertrieben.

Die einfachste Methode, um Berechtigungen als Benutzer "root" (Administrator) zu erlangen, sei das Anbieten einer interessant erscheinenden App im Android Market, Googles Pendant zu Apples App Store. Die präparierte Anwendung könne eine lange bekannte Sicherheitslücke in Linux (CVE-2009-1185) ausnutzen, um root-Rechte zu erlangen. Diese Lücke könne zwar mit Updates geschlossen werden, dies unterbleibe jedoch oft.

Für Datendiebstahl wie durch Jackeey Wallpaper seien root-Rechte gar nicht nötig, wie Tim Wyatt erläutert, ein weiterer Lookout-Forscher. Anwendungen können vom Benutzer Zugriffsrechte erfragen, sie müssten nur halbwegs plausibel erscheinen. Android erlaube es Apps auch Ressourcen anderer Apps zu nutzen. So könne eine SMS-App ohne Internet-Zugriff den Internet-Zugang einer anderen Anwendung benutzen.

So erweist sich die nicht-technische Methode "Social Engineering" einmal mehr als die einfachste und somit beste, um an vertrauliche Informationen zu gelangen. (PC Welt/mje)