Sony und die Rootkits: Oops, I did it again?

Für Sony scheint sich ein weiteres Rootkit-Debakel anzubahnen. Die Sicherheitsexperten von F-Secure berichten, dass der Konzern Rootkit-ähnliche Software ausliefert – ausgerechnet zusammen mit den Hochsicherheits-USB-Sticks vom Typ MicroVault.

Erinnern Sie sich noch an die Rootkit-Panik von 2005? Sony BMG hatte damals einen neuen Kopierschutz namens XCP eingeführt, der die Tarntechnologie von Viren und Trojanern verwendete. Damit trat der Konzern ungewollt eine Welle der Entrüstung los, zudem wurden Rootkits in den darauf folgenden Monaten und Jahren immer populärer. Man sollte meinen, Sony hätte aus diesem Debakel gelernt, zumal XCP schnell wieder verschwand.

Laut F-Secure sieht das aber ganz anders aus. Die Virenexperten und damaligen Mitendecker (zeitgleich wurde das Rootkit damals von Mark Russinovich von Sysinternals gefunden) melden, dass sie einen ähnlichen Fall entdeckt haben. Im konkreten Fall geht es um den Microvault, einen USB-Stick mit integriertem Fingerprint-Reader.

Was ist das?: In der sauberen Testumgebung fanden sich nach der Installation der MicroVault-Fingerprint-Software mehrere versteckte Dateien (Quelle: F-Secure)
Was ist das?: In der sauberen Testumgebung fanden sich nach der Installation der MicroVault-Fingerprint-Software mehrere versteckte Dateien (Quelle: F-Secure)

Laut F-Secure installiert die mitgelieferte Software einen Treiber, der anschließend unter dem Verzeichnis „c:\windows“ versteckt wird. Das bedeutet, dass er mit Hilfe der normalen Windows-API nicht mehr eingesehen werden kann.

Wegbereiter für Trojaner?: Die Fingerprint-USB-Sticks stehen laut F-Secure im Verdacht, Rootkit-ähnliche Technologie zu verwenden.
Wegbereiter für Trojaner?: Die Fingerprint-USB-Sticks stehen laut F-Secure im Verdacht, Rootkit-ähnliche Technologie zu verwenden.

Das ist problematisch, da dieses Verzeichnis von den meisten Anti-Virus-Scannern nicht mehr geprüft werden kann. Dennoch ist es laut F-Secure für Drittanbieter möglich. Dateien in dem Verzeichnis abzulegen, wenn der genaue Pfad bekannt ist. Sprich: Datenspione und Virenschreiber können problemlos ihre Schädlinge oder eigene Rootkits verbergen, genau wie im Fall des Kopierschutzes XCP.

Die möglichen Auswirkungen sind aber, ironischerweise ebenfalls dank Sony, deutlich geringer. Denn die allgemeine Panik nach dem XCP-Fall sorgte dafür, dass beinahe jeder Anti-Viren-Hersteller in Rootkit-Technologie investierte. Auch macht das Verbergen der Fingerprint-Authentifizierungsroutinen durchaus Sinn. Dennoch kann es nicht der richtige Weg sein, potentiell gefährliche Techniken anzuwenden, ohne irgendeine Sicherheitsfunktion einzubauen.

Sowohl F-Secure als auch TecChannel haben Sony um eine Stellungnahme gebeten. Bislang erhielten wir keine Antwort. Sobald wir mehr Informationen erhalten, werden geben wir Ihnen bescheid. (mja)