Die mobilen Technologien zeigen einen generellen Trend in Richtung Integration. Die Welt der Mobiltelefone wird zunehmend intelligenter und nähert sich rasant den Möglichkeiten des Personal Computers an. Die neue Generation der Pocket PCs, Boardcomputer und Haushaltsgeräte kann inzwischen teilweise untereinander kommunizieren. Diese Entwicklungen zeigen den Beginn der Epoche der Smart Houses an - globale Netze unterschiedlicher Geräte, die miteinander im Datenaustausch stehen. Dieser erfolgt direkt über die mit „dualen Bits gesättigte Luft“, wie Vertreter des Cyberpunks zu sagen pflegen. Bedarf es überhaupt einer Erklärung, welche potenziellen Gefahren in diesen Innovationen auf die Anwender lauern und welche Möglichkeiten sie für Hacker eröffnen? Die Tatsache, dass wir noch weit entfernt von einer Welt sind, in der man für die Kontrolle von Maschinen keine weiteren Hilfsmittel als ein Laptop mit drahtloser Verbindung benötigt, sollte uns nicht in Sicherheit wiegen. Das Problem der Sicherheit mobiler Geräte ist bereits heute aktuell.
Auf den ersten Blick scheint das Virenproblem nur in Einzelfällen ein echtes Sicherheitsproblem der digitalen Endanwender zu sein. Die gesamte IT-Virologie beweist jedoch das Gegenteil: Im Zuge ihrer Entwicklung mutierten die Schadprogramme allmählich von unschuldigen Basteleien gelangweilter Programmierer und nach Selbstbestätigung suchender Studenten zu professioneller Malware, die häufig profitorientiert arbeitet. Die Grenze zwischen IT-Virologie und Netzsicherheit, Sicherheitslücken der Programme, Adware und kriminellen Strukturen ist heutzutage verwischt. Deshalb ist die Bedeutung der Virenforschung in punkto Sicherheit für die digitale Welt in keinster Weise zu unterschätzen.
Diese Analyse befasst sich mit den Bedrohungen mobiler Endgeräte durch Malware. Theoretisch sind sämtliche mobilen Technologien betroffen - praktisch jedoch sind vor allem Smartphones und Communicators bedroht, denn diese Gruppe der mobilen Geräte zieht die Virenschreiber besonders an. PDAs sind weit weniger betroffen, da sie seltener zum Austausch von potenziell infizierten Dateien eingesetzt werden. Das tatsächliche Ausmaß des Sicherheitsrisikos für mobile Geräte ist schwer zu beziffern, da diese Geräte noch nicht im großen Stil eingesetzt werden.
Die kurze Geschichte der mobilen Viren
Die Geschichte der Viren für mobile Geräte begann erst im Juni 2004, als die Gruppe 29A, eine Vereinigung professioneller Virenschreiber, den ersten Virus für Smartphones schrieb. Dieser Virus namens „Caribe“ befällt das Betriebssystem Symbian und verbreitet sich über Bluetooth. Der Antivirenhersteller Kaspersky Lab gab ihm den Namen Worm.SymbOS.Cabir, andere Hersteller wie F-Secure oder Symantec nutzten ebenfalls diesen Namen.
Cabir erregte zwar viel Aufsehen, war jedoch als so genannter Konzeptvirus ausschließlich zu demonstrativen Zwecken entwickelt worden und sollte nur unter Beweis stellen, dass Symbian nicht vor Viren sicher ist. Virenautoren wie 29A sind gewöhnlich nicht an der Virenverbreitung oder Missbrauch interessiert, sondern attackieren Systeme zur Selbstbestätigung ihrer Programmierfähigkeiten oder um auf Sicherheitslücken hinzuweisen.
Tatsächlich wurde Worm.SymbOS.Cabir auf Anweisung des Autors selbst sogar an Antivirenunternehmen verschickt. Mehr noch: Der Quellcode des Wurms wurde im Internet veröffentlicht. Allerdings zog dies Modifikationen der Malware nach sich, woraufhin diese begann, weltweit durch Telefone zu schleichen – langsam und keinen erheblichen Schaden anrichtend, aber unaufhaltsam.
Der erste Windows-CE-Virus
Einen Monat nach Cabir wurden die Antivirenunternehmen erneut mit einer virologischen Neuentwicklung konfrontiert. Virus.WinCE.Duts belegte gleich zwei Spitzenplätze: Er war der erste Virus für Windows CE (Windows Mobile) und zugleich auch der erste Dateivirus (file infector) für Smartphones. Duts infiziert .exe-Dateien im Stammverzeichnis des Geräts, erfragt allerdings zuvor die Berechtigung durch den Anwender.
Die Fortsetzung der Virusattacken auf Windows Mobile ließ nicht lange auf sich warten: Einen Monat nach Duts erschien Backdoor.WinCE.Brador – das erste Backdoor-Programm für mobile Plattformen. Dieses Schadprogramm öffnet den Zugang zum infizierten Gerät, indem es dessen IP-Adresse per E-Mail an seinen Erschaffer sendet. Dadurch ermöglicht es, über einen bestimmten Port auf den mobilen Rechner zuzugreifen. Anschließend ist es ein Leichtes, Dateien in beide Richtungen zu verschieben.
Trojan.SymbOS.Mosquit, der Brador folgte, sieht zunächst wie ein harmloses Spiel für die Plattform Symbian (“Mosquitos”) aus, in dessen Code allerdings ein unbekannter Übeltäter einige Veränderungen eingefügt hat: Das modifizierte Spiel versendet beim Start SMS-Nachrichten an die im Code ausgewiesenen Telefonnummern.
Die zweite Virengeneration für Symbian
Im November 2004 tauchte nach dreimonatiger Pause in einigen Internet-Foren mit Mobilthemen ein neuer Symbian-Trojaner auf - Trojan.SymbOS.Skuller. Der Trojaner täuscht vor, neue Icons und Programme für Geräte zu übermitteln. Das Schadprogramm - ein Installer für die Symbian-Plattform - wechselt die Icons der Standardanwendungen mit Icons in Form eines Totenkopfs aus. Gleichzeitig installiert er schädliche Anwendungen, wodurch die Originalprogramme überschrieben werden.
Trojan.SymbOS.Skuller wies dadurch auf zwei unangenehme Besonderheiten der Symbian-Architektur hin:
Ungehinderte Möglichkeit zum Überschreiben von Betriebssystemdateien und daraus resultierende Instabilität des Betriebssystems
Fehlende Überprüfung auf Sicherheitslücken
Eben diese Sicherheitslücken wurden schnell zum Zielobjekt für Virenprogrammierer. Skuller ist der Vorreiter der bislang größten Gruppe an Schadprogrammen für Mobiltelefone. Vergleicht man die Skuller-Familie mit gewöhnlichen PC-Viren, so sind sie den DOS-Viren in ihrer Schädlichkeit und ihrem technischen Schwierigkeitsgrad nicht unähnlich.
Locknut und Lasco - Die Nachfolger von Skuller
Ein weiterer Trojaner dieser Gruppe, Trojan.SymbOS.Locknut, tauchte zwei Monate später auf. Wird der Virus gestartet, erstellt er im Systemverzeichnis /system/apps/ einen Ordner mit dem Namen „gavno“, in welchem unter anderem die Datei gavno.app abgelegt ist. In dieser Datei befindet sich anstelle von Code nur ein gewöhnlicher Text. Da das Betriebssystem die Datei allerdings auf Grund ihrer Endung .app als Ausführungsdatei ansieht und startet, stürzt es bei diesem Versuch ab. Beim Neustart des Systems wird erneut versucht, die „Anwendung“ zu starten, was letztendlich dazu führt, dass das Smartphone nicht mehr aktivierbar ist.
Seither nutzen Trojaner die Symbian-Sicherheitslücke und überschreiben Systemdateien. Regelmäßig erscheinen weitere Varianten, die sich lediglich in ihrer Vorgehensweise beim Zerstören des Systems unterscheiden.
Worm.SymbOS.Lasco, der im Januar 2005 auftauchte, war nach dieser Reihe von Trojanern wieder der erste Wurm. Als entfernter Verwandter von Worm.SymbOS.Cabir unterscheidet er sich von ihm durch die Fähigkeit, SIS-Dateien infizieren zu können. Ein weiterer Außenseiter ist Worm.SymbOS.Comwar (März 2005), der sich als erster Vertreter selbst über MMS verbreiten kann.
Die wichtigsten mobilen Viren
Betrachtet man die dynamische Veränderung von Malware für mobile Plattformen, so kann ihre Geschichte in zwei “Epochen“ eingeteilt werden: Im ersten halben Jahr, von Juni 2004 bis Januar 2005, konnten noch technische Durchbrüche verzeichnet werden, doch im zweiten Halbjahr, von Januar 2005 bis heute, beherrschen nur noch primitive Trojaner für Symbian die mobile Virenwelt.
Durchschnittlich erscheint ein neues Malware-Programm pro Monat - ohne Berücksichtigung der modifizierten Viren. Worm.SymbOS.Comwar beweist, dass die Entwicklung neuer Viren stagniert: Er war im März 2005 der letzte wirklich neu programmierte Virus.
Name | Entdeckt im | Betriebssystem | Funktion | Technologische Grundlage der Schadfunktion | Anzahl der Modifikationen |
Worm.SymbOS.Cabir | Juni 2004 | Symbian | Verbreitung über Bluetooth | Bluetooth | 11 |
Virus.WinCE.Duts | Juli 2004 | Windows CE | Infizierung von Dateien | - (File API) | 1 |
Backdoor.WinCE.Brador | August 2004 | Windows CE | ermöglicht externen Zugriff über das Internet | - (Network API) | 1 |
Trojan.SymbOS.Mosquit | August 2004 | Symbian | SMS-Versand | SMS | 1 |
Trojan.SymbOS.Skuller | November 2004 | Symbian | Austausch der Datei-Icons | Sicherheitslücke im Betriebssystem | 12 |
Worm.SymbOS.Lasco | Januar 2005 | Symbian | Verbreitung über Bluetooth, Infizierung von Dateien | Bluetooth, File API | 1 |
Trojan.SymbOS.Locknut | Februar 2005 | Symbian | Installation beschädigter Anwendungen | Sicherheitslücke im Betriebssystem | 2 |
Trojan.SymbOS.Dampig | März 2005 | Symbian | Austausch von System-Anwendungen | Sicherheitslücke im Betriebssystem | 1 |
Worm.SymbOS.Comwar | März 2005 | Symbian | Verbreitung über Bluetooth und MMS | Bluetooth, MMS | 2 |
Trojan.SymbOS.Drever | März 2005 | Symbian | Austausch der Programmdienste von Antivirusprogrammen | Sicherheitslücke im Betriebssystem | 3 |
Trojan.SymbOS.Fontal | April 2005 | Symbian | Austausch der Schriftdateien | Sicherheitslücke im Betriebssystem | 2 |
Trojan.SymbOS.Hobble | April 2005 | Symbian | Austausch der Systemanwendungen | Sicherheitslücke im Betriebssystem | 1 |
Trojan.SymbOS.Appdisabler | Mai 2005 | Symbian | Austausch der Systemanwendungen | Sicherheitslücke im Betriebssystem | 2 |
Trojan.SymbOS.Doombot | Juni 2005 | Symbian | Austausch der Systemanwendungen, Installation von Comwar | Sicherheitslücke im Betriebssystem | 1 |
Trojan.SymbOS.Blankfont | Juli 2005 | Symbian | Austausch der Schriftdateien | Sicherheitslücke im Betriebssystem | 1 |
Die Angreifbarkeit mobiler Geräte
Die Welt der intelligenten Mobilgeräte ist noch sehr neu, weshalb sie vom technischen Standpunkt her noch relativ ungeschützt ist. Die technische Sicherheit von Geräten wird üblicherweise nur innerhalb eines „Wettrüstens“ vorangebracht – also einer Abfolge von Angriffen und daraus resultierender Gegenmaßnahmen. Für Pocket PCs und Smartphones hat dieser Kampf gerade erst begonnen.
Allerdings schafft es der „Faktor Mensch“, jegliche technische Bemühungen zur Sicherung eines Systems zunichte zu machen. Zum Teil reagierten Computeranwender erst Jahre nach Beginn von Virusepidemien auf diese Bedrohung, indem sie ihre Rechner mit Antivirus-Utilities ausrüsten oder Patches zur Schließung von Sicherheitslücken herunterladen.
Dass der Faktor Mensch selbst eine Sicherheitslücke darstellt, zeigt Worm.SymbOS.Cabir. Er tauchte vor über einem Jahr auf und kursiert seither im Netz mobiler Geräte, obwohl ihm eigentlich die technischen Voraussetzungen für eine derartige Langlebigkeit fehlen:
Der Wurm nutzt keinerlei Sicherheitslücken. Damit ein Smartphone mit ihm infiziert werden kann, muss der Anwender sowohl das Herunterladen als auch das Ausführen des unbekannten Programms bestätigen.
Es existieren einige kostenlose, allgemein zugängliche Antiviruslösungen für mobile Geräte von verschiedenen Herstellern.
Das große Aufsehen in der Presse nach Erscheinen des ersten Wurms hätte selbst den letzten Anwender erreichen müssen.
Informationen über Cabir sind auf jeder Webseite mit Antivirusthemen zugänglich.
Betrachtet man diese vier Punkte, kann man den Schluss ziehen, dass das Sicherheitsproblem der mobilen Systeme gegenwärtig hauptsächlich vom Menschen ausgeht und weniger von technischen Unzulänglichkeiten.
Datenaustausch und Schwachstellen
Datenaustausch über Bluetooth ist inzwischen eine Standardfunktion der meisten Anbieter und Endgeräte. Allerdings verbirgt sich dahinter eine Sicherheitsproblematik, die dem Durchschnittsanwender nicht bekannt ist. Viele Benutzer scheuen das Lesen von Bedienungsanleitungen, weshalb ihnen in aller Regel unbekannt ist, dass ihr eingeschaltetes und aktiviertes Bluetooth-Gerät für alle anderen Benutzer von Bluetooth-Geräten in einem Umkreis von zehn bis 20 Metern „sichtbar“ und dementsprechend auch für potenziellen Datenaustausch geöffnet ist.
Folgende Eigenschaften unterscheiden Mobilgeräte von herkömmlichen Computern:
Mobile Geräte bieten die Möglichkeit, ständig und fast überall eine Verbindung zu einem Netz aufbauen zu können (zu mobilen Netzen, dem Internet, zu Computern und untereinander). Außerdem verfügen sie über verschiedene Möglichkeiten des Datenaustauschs wie SMS, MMS und Bluetooth).
Bluetooth ermöglicht dem Mobilgerät, mit Tausenden weiterer Telefone in Verbindung zu treten. Bei großen Menschenansammlungen führt dies zur Bildung eines weitläufigen Datenübertragungsnetzes.
Mobile, mit Computertechnik ausgestattete Geräte stellen einen guten Nährboden für Spam und professionelle Spionage dar.
Übeltäter können sich bei drahtloser Datenübertragung in völliger Anonymität bewegen.
Die ersten zwei Punkte schaffen die Voraussetzung für globale Epidemien beispielsweise durch Bluetooth-Würmer. Die Punkte 3 und 4 fördern kriminelle Aktivitäten im mobilen Umfeld.
Bedrohungen
Die größte Malware-Gefahr für mobile Geräte stellen Würmer dar. Ein Wurm ist in der Lage, sehr schnell eine große Zahl an Systemen zu infizieren. Dadurch kann entweder die Funktionsfähigkeit des mobilen Netzes zerstört oder das gesamte Netz von Kriminellen unter deren Kontrolle gebracht werden.
Gegenwärtig sind der Virologie zwei Würmer für Mobiltelefone bekannt (ohne Berücksichtigung ihrer Modifikationen): Worm.SymbOS.Cabir, der sich über Bluetooth verbreitet, und Worm.SymbOS.Comwar, der Bluetooth und MMS zur Verbreitung nutzt. Eine detaillierte Analyse dieser Würmer ist in der Viren-Enzyklopädie zu finden. In dieser Übersicht soll allerdings näher auf ihren Selbstverbreitungsmechanismus eingegangen werden.
Cabir
Der Wurm Worm.SymbOS.Cabir verbreitet sich über Bluetooth, ohne dabei eine Sicherheitslücke auszunutzen. Beim Start beginnt er, die Umgebung nach weiteren Bluetooth-Geräten zu durchsuchen und an diese eine Kopie seiner selbst in Form eines SIS-Archivs zu verschicken. Auf dem Bildschirm des attackierten Telefons erscheint, unabhängig von dessen Betriebssystem, eine Benachrichtigung über die eingehende Datei und die Frage, ob sie heruntergeladen werden soll. Der Benutzer eines Symbian-Telefons muss diese Anfrage bestätigen, bevor sich die Datei abspeichert und anschließend automatisch startet. Aber auch die eigentliche Infizierung des Smartphones muss durch den Benutzer autorisiert werden, da bei der Installation von SIS-Dateien das System immer eine Bestätigung einholt. Für die Anwender von Windows-basierten Mobiltelefonen, die die Wurm-Datei geladen haben, ist sie nicht weiter gefährlich, da der Wurm nur Symbian-Betriebssysteme befällt. Auch Bordcomputer in Fahrzeugen, die auf Symbian-Basis laufen, sind nicht gefährdet. Interne Kaspersky-Lab-Untersuchungen haben ergeben, dass Gerüchte um eine mögliche Infektion über Bluetooth jeglicher Grundlage entbehren.
Comwar
Worm.SymbOS.Comwar nutzt zu seiner Verbreitung neben Bluetooth auch die MMS-Technik. Er verschickt an die Telefonnummern des Adressbuchs MMS-Nachrichten, die die Kopie seiner Ausführungsdatei im Anhang mit sich führen. Betreff und Text der von dem Wurm versandten Nachrichten verwenden „Social Engineering“-Elemente, die den Anwender durch Mitteilungen wie „Nokia RingtoneManager for all models“ oder „Symbian security update“ täuschen. Geht eine solche Nachricht auf einem Symbian-Telefon ein, startet das Gerät automatisch die angehängte Datei, wodurch sich der Virus in das System installiert. Windows-Geräte sind von der Infektion nicht betroffen.
Es ist schwer zu sagen, welcher der beiden Selbstverbreitungsmechanismen von Würmern gefährlicher für Mobiltelefone ist - Bluetooth oder MMS. Die größere Anzahl der Telefone ist nach wie vor mit MMS ausgestattet. Allerdings hat Bluetooth gegenüber MMS andere „Vorteile“ zur Virenverbreitung, wie beispielsweise die Möglichkeit des direkten Datenaustauschs zwischen unterschiedlichen Geräten, ohne dass eine zentrale Datenüberprüfung erfolgen würde.
Anfällige Plattformen und Schutz vor Viren
Die folgenden Betriebssysteme für mobile Geräte sind derzeit am weitesten verbreitet: Windows CE (Pocket PC, Windows Mobile), Symbian OS, Palm OS und Linux. Im Bereich der Pocket PCs und Communicators überwiegt Windows, bei den Smartphones dagegen Symbian.
Den Sicherheitsgrad der einen oder anderen Plattform zu beurteilen, wäre heute zu früh. Die Testergebnisse des Antivirenherstellers Kaspersky Lab zeigen allerdings die Unterschiede zwischen den Betriebssystemen auf. Während Mobiltelefone mit Windows-System empfangene Dateien zunächst nur abspeichern, bearbeiten Symbian-basierte Telefone jede ankommende Datei automatisch. Da nicht die Möglichkeit bestand, alle auf dem Markt befindlichen Smartphones und Communicators zu testen, ist nicht auszuschließen, dass Sicherheitsaspekte nicht nur für die unterschiedlichen Betriebssysteme, sondern eventuell auch für die verwendeten Gerätetypen relevant sind.
Es entsteht der Eindruck, dass vornehmlich Symbian-Betriebssysteme anfällig für Virenattacken sind. Dieser Eindruck ist jedoch darauf zurückzuführen, dass Symbian im mobilen Bereich deutlich weiter verbreitet ist als Windows. Dementsprechend wurde Windows noch nicht in diesem Maße zum Ziel von Hackern.
Schutz vor mobilen Viren
Nahezu jeder Antivirenhersteller bietet bereits Lösungen für mobile Geräte an. Dabei handelt es sich einfach um ein mobiles Pendant der Desktop- oder Server-Software, die meist über das Mobilfunknetz aktuell gehalten wird. Die Software schützt vor allem vor direkten Attacken über Bluetooth oder präparierte Programmpakete.
Der beste Schutz vor MMS-Würmern ist eine Antiviruslösung auf dem Internet-Server, die den gesamten MMS-Verkehr filtert.
Trends und Prognosen
Prognosen zur Weiterentwicklung mobiler Viren sind nur schwer zu treffen, allerdings können folgende Tendenzen festgestellt werden.
Der Prozentsatz der Smartphones bei mobilen Geräten ist steigend. Je bekannter und verbreiteter die Technologie, desto interessanter ist es, diese zu attackieren.
Mit steigendem Bekanntheitsgrad und Marktpotenzial wächst auch die Zahl der spezialisierten Virenschreiber.
Durch die erweiterten Funktionalitäten beginnen Smartphones die Desktop-Computer zu verdrängen. Damit erhalten Viren (und Virenschreiber) einen immer größeren Wirkungsbereich.
Die Zunahme der Gerätefunktionen führt automatisch zur Zunahme der gespeicherten, potenziell interessanten Informationen. Im Gegensatz zum gewöhnlichen Mobiltelefon, das meist nur ein Adressbuch enthält, können im Speicher eines Smartphones beliebige Dateien hinterlegt werden. Zusätzlich zur Virenbedrohung wird die Sicherheit persönlicher Daten durch die Nutzung von Online-Services in Gefahr gebracht.
Auf der anderen Seite werden die negativen Tendenzen bisher durch verschiedene Faktoren abgeschwächt: Der Prozentsatz der Smartphones ist nach wie vor niedrig, zudem gibt es bislang keine Monopolstellung eines Betriebssystems. Beides behindert gegenwärtig den Ausbruch globaler Virenepidemien. Um die Mehrheit der Smartphones zu infizieren, müssten Multiplattformviren den Markt erobern.
Eine reale Bedrohung entsteht dann, wenn diese natürlichen Bremsen wegfallen. Laut den Daten des russischen Marktforschungsunternehmens SmartMarketing wächst der Marktanteil von Symbian für Pocket PCs auf dem russischen Markt seit zwei bis drei Jahren kontinuierlich. Mitte 2005 hatte sich der Bekanntheitsgrad von Symbian dem von Windows Mobile beinahe angeglichen. Es besteht deshalb durchaus die Möglichkeit, dass Windows über kurz oder lang vom Markt verdrängt werden wird.
Bislang kann also nicht von einer ernst zu nehmenden Bedrohung durch mobile Viren gesprochen werden. Epidemien werden wohl erst auftreten, wenn eine kritische Zahl von Smartphone-Anwendern erreicht ist und Standardplattformen den Markt beherrschen. Dies bedeutet jedoch nicht, dass es derzeit keinerlei Bedrohung durch mobile Viren gäbe. (mja)
Dieser Artikel basiert auf einer Studie der Autorin Alisa Shevchenko. Sie ist Virenanalytikerin beim Antivirenhersteller Kaspersky Labs.