Sicherheitslücke unter Android für Spyware ausgenutzt

WebKit-Schwachstelle bedroht Smartphones und Tablets

Die meisten Internet-Browser auf Smartphones und Tablets verwenden WebKit. Das gilt für Google Android, Apple iOS und BlackBerry OS. Unter Android wurde nun eine schwerwiegende Schwachstelle in WebKit ausgenutzt, um Spyware zu installieren.

Bereits während RSA 2012-Konferenz in San Francisco Ende Februar wurde der Proof of Concept eines Drive-by-Downloads für Android-Geräte gezeigt. Die Demonstration durch die Firma CrowdStrike wurde mit einem WebKit -Exploit durchgeführt, welches das Unternehmen einfach in der Internet-Szene gekauft hatte. CrowdStrike passte den Exploit an, ergänzte ihn mit einigen Skripten und packte ihn auf eine Webseite. Beim Anklicken eines Links zu dieser Webseite stürzt sofort der Android-Browser ab, lädt aber eine Malware und startet mit einem Reboot die Schadsoftware. Dabei erhält die Malware außerdem Root-Zugriff auf das Android-System. Bei der RSA-Demonstration arbeitete die Schadsoftware anschließend als Spyware, die Telefongespräche und SMS abhörte.

Der Link zu der präparierten Webseite kann auf anderen Internetseiten enthalten sein, in E-Mails, SMS-Nachrichten oder Anhängen. Sobald der Internet-Browser darüber gestartet und die präparierte Webseite geladen wird, ist es passiert.

Aktuelle Malware-Scanner sind bei dieser Art von Angriff wirkungslos und schlagen noch nicht einmal Alarm. Einen Schutz mit Zusatz-Software gibt es nicht.

Eddy Willems, Security Evangelist bei GData: Alleine die Demonstration auf der RSA-Konferenz dürfte für viele Cyberkriminelle Anreiz genug sein. Willems erwartet, dass in Zukunft mehr von dieser Art Drive-by-Download-Malware kommen wird
Eddy Willems, Security Evangelist bei GData: Alleine die Demonstration auf der RSA-Konferenz dürfte für viele Cyberkriminelle Anreiz genug sein. Willems erwartet, dass in Zukunft mehr von dieser Art Drive-by-Download-Malware kommen wird
Foto: GData

Eddy Willems, Security Evangelist bei GData, erklärte im Interview mit TecChannel, dass schon diese Demonstration auf der RSA-Konferenz die Cyberkriminellen anregen dürfte, die Möglichkeiten auszuloten und dann mit neuen Threats und artverwandter Malware zuzuschlagen. Das Sicherheitsproblem lässt sich zudem nur mit einem Betriebssystem-Update beseitigen, denn WebKit ist darin enthalten. Eddy Willems gegenüber TecChannel: "Da es für viele Android-Smartphones und Tablets oft keine Updates mehr vom Gerätehersteller gibt, oder die Mobilfunkanbieter sie nur mit großer Verzögerung bereitstellen, macht dies Android aktuell zu einem sehr angreifbaren System."

Allerdings ist das Grundproblem nicht auf Android beschränkt, denn das ursprünglich von Apple entwickelte Open-Source-Projekt WebKit findet auch unter Windows, Linux, Mac OS X, BlackBerry OS und Apple iOS Verwendung. Beispielsweise setzen die Browser Google Chrome und Apple Safari auf WebKit. Während sich Schachstellen dieser Art bei den Desktop-Betriebssystemen schnell durch ein Software-Update beseitigen lassen, ist auch bei BlackBerry OS und Apple iOS ein komplettes Betriebssystem-Update erforderlich. Derzeit ist allerdings noch kein Exploit für andere Systeme als Android 2.2 und 2.3. bekannt.

Das Video zeigt ein Interview mit Dmitri Alperovitch, CTO bei CrowdStrike, anlässlich der RSA-Konferenz. Bei etwa 1:30 Minuten Spielzeit erklärt Alperovitch auch den "Phone-Hack" im Detail. Auch er ist der Meinung, dass nicht die notwendigerweise immer Apps das Sicherheitsproblem von mobilen Geräten sind.

Den Live-Hack auf der RSA-Lonferenz können interessierte Leser im nachfolgenden Video im Original beobachten. Allerdings sind Bild- und Tonqualität nicht besonders gut.

TecChannel-Empfehlung

Sie sollten Ihr mobiles Gerät immer auf dem aktuellsten Betriebssystemstand halten. Das Grundproblem ist die Ausnutzung einer Schachstelle in einer zentralen Komponente, die das Betriebssystem bereitstellt. Echte Abhilfe schafft also nur ein Betriebssystem-Update.

Im Fall der hier beschriebenen Schwachstelle empfiehlt sich als Zwischenlösung der Einsatz von Browsern, die nicht auf WebKit basieren. Das sind Opera Mobile, Opera Mini und Mozilla Firefox Mobile. Opera Mini verwendet Operas eigene Engine Presto, bei Opera Mini erfolgt das Rendern extern durch die Opera-Server. Firefox Mobile setzt dagegen auf Mozillas Engine Gecko. Das gilt auch für die Desktop-Varianten von Opera und Firefox. Nicht betroffen sind außerdem der Microsoft Internet Explorer und die mobile Variante für Windows Phone.

Sie sollten bei Verwendung eines Nicht-Webkit-Browser diesen dann auch zum Standard-Browser Ihres Systems machen, sonst werden Links in E-Mails und SMS doch wieder im mitgelieferten Webkit-Browser geöffnet. Die Änderung ist bei den Desktop-Betriebssystemen einfach in den Einstellungen des Browsers zu erledigen. Unter Android haben Sie nach der Installation eines neuen Browsers beim anschliessenden Start die Wahl, welche Internet-App die Standardaktion durchführen soll. Apple iOS für iPhone und iPad bietet diese Möglichkeit beispielsweise aber nicht. (mec)