Smartphone-Malware: Trügerische Sicherheit
Mitte August ist auf dem offenen Smartphone-Betriebssystem Android der erste SMS-Trojaner aufgetaucht, doch auch Apples iPhone ist nicht vor jeglicher Attacke auf die Systemsicherheit gefeit. Die Hauptgefahr, sein Smartphone mit Malware zu infizieren, lauert in den App Stores. Österreichische Sicherheitsexperten gehen davon aus, dass Security-Attacken auf Smartphones zwar langsam, aber stetig zunehmen werden.
"Das Potenzial für Malware am Handy wird immer größer. Mit den App Stores ist es beispielsweise ein leichtes, dass ein Trojaner in eine App eingeschleust wird, die dann millionenfach runtergeladen wird", ist Aaron Kaplan vom heimischen Sicherheitszentrum CERT.at überzeugt.
Apples iPhone könne in diesem Fall genauso betroffen sein wie die Vielzahl der auf dem Markt erhältlichen Android-Phones, so Kaplan. Zwar werden bei Apple alle eingereichten Apps in einem Review-Prozess überprüft, bevor sie im App Store veröffentlicht werden, doch bei der ständig wachsenden Anzahl neuer Apps steigt auch die Wahrscheinlichkeit, dass etwas übersehen wird - etwa wenn die Basics mit den üblichen Programmierwerkzeugen geschrieben oder Teile des Codes von anderen Programmen übernommen wurden.
"Review schließt bösartige Funktionen nicht aus"
"Selbst mit einem Review ist es unmöglich, mit 100-prozentiger Sicherheit zu erkennen, ob ein Entwickler bösartige Funktionen versteckt hat oder nicht", meint auch Günther Starnberger, Informatiker und Doktorand an der TU Wien am Institut für Informationssysteme.
So landete zum Beispiel im Juli eine Taschenlampenanwendung namens "Handy Light" im App Store, die weitaus mehr konnte als nur das Display im Dunklen zum Leuchten zu bringen. In die Anwendung schleuste ein Entwickler einen Programmcode ein, mit dem SOCKS Proxy Tethering, die kabellose Nutzung des Handys als Modem für den Computer, möglich wurde.
Für Android-Phones tauchte im August zudem der erste SMS-Trojaner auf. Dieser versendete im Hintergrund teure SMS-Nachrichten an eine Premium-Nummer in Russland. Die als Media-Player getarnte Malware wurde vom Sicherheitsteam des Antivirenherstellers Kaspersky erkannt und auf den Namen "Trojan-SMS.AndroidOS.FakePlayer.a" getauft. Damit diese Art von Malware allerdings tatsächlich Kosten verursachen kann, muss der Nutzer selbst zustimmen, dass die App Premium-SMS versenden darf.
"Android-Genehmigungen wirklich durchlesen"
Eine Sicherheitsmaßnahme von Googles offenem, linux-basierten Betriebssystem besteht nämlich darin, dass das System den Nutzer bei der Installation von Apps danach fragt, welche Art von Aktivitäten das Programm entfalten darf. So kann eine App später nur SMS versenden, wenn der Nutzer der App die Genehmigung dazu erteilt hat. "Der Nutzer muss sich diese Auswahl, die ihm vor der Installation der App angezeigt wird, tatsächlich durchlesen. Dies tun allerdings die wenigsten", ist Starnberger überzeugt.
Zudem hat man bei der Auswahl der angezeigten Genehmigungen nur die Möglichkeit, alle zu akzeptieren, oder auf die App ganz zu verzichten. Für wenig erfahrene Nutzer ist es oft schwierig zu erkennen, was für Genehmigungen ein Programm wirklich benötigt und welche einen stutzig machen sollten. "Hier nimmt einem Apple die Arbeit ab, zu entscheiden, ob man der Software vertrauen kann, auch wenn selbst dieses System keinen 100-prozentigen Schutz bietet. Das direkte, automatische Versenden von SMS ist mit dem Betriebssystem iOS 4 allerdings nicht möglich, das Programm könnte lediglich einen SMS-Editor öffnen", erklärt Starnberger.
Fernsteuer-Mechanismus seitens Google
Doch auch Google hat eine weitere Sicherheitsebene entwickelt, den sogenannten "Kill Switch", der im Notfall zum Einsatz kommen soll. Per Fernwartungsfunktion lassen sich bereits installierte Anwendungen auf Android-Phones direkt von Google entfernen. Diese Funktion wurde im Juni dieses Jahres erstmals anhand von zwei Apps getestet und sorgt nicht nur für Begeisterung bei der Community. Im Ernstfall einer großräumigen Malware-Attacke könnte sie sich jedoch als äußerst sinnvoll erweisen.
Dass diese allerdings besonders rasch passiert, glaubt Joe Pichlmayr vom österreichischen Antivirushersteller Ikarus nicht. "Im Moment ist die Wahrscheinlichkeit, dass ich ein Handy verliere oder dass es gestohlen wird, um ein Vielfaches größer, als dass es mit Malware infiziert wird."
Noch fehlen "lukrative Geschäftsmodelle"
"Die Gefahr wächst erst, wenn sich lukrative Geschäftsmodelle für Angreifer auftun, die mit geringem Aufwand realisierbar sind", so Pichlmayr. Diese gäbe es derzeit noch nicht, da die Systeme zu stark fragmentiert seien und auch die Mobilfunkanbieter relativ rasch auf den Plan gerufen würden, wenn Auffälligkeiten auftreten.
Durch den App-Boom, der auch Österreich erreicht hat, hat sich allerdings das Nutzungsverhalten der Smartphone-Besitzer verändert. Daher rät auch Pichlmayr: "Man sollte einfach nicht jede App installieren, die man von sogenannten Freunden empfohlen bekommt", und fügt hinzu: "Auf der einen Seite sorgt man sich, dass Spyware und Trojaner auf dem Handy landen, auf der anderen Seite beruht vieles auch auf Freiwilligkeit." Leute würden etwa ungelesen Lizenzverträgen zustimmen, aber auch Programmen Zugriffsrechte erteilen, mit denen sich der genaue Aufenthaltsort feststellen oder das persönliche Kontaktverzeichnis einsehen lässt.
Zugriff auf Aufenhaltsort und Kontaktdaten
Laut einer Studie des App Genome Projekts des Sicherheitsunternehmens Lookout haben etwa 29 Prozent aller kostenlosen Android-Apps und 33 Prozent der iPhone-Apps Zugriff auf den Aufenthaltsort des Nutzers. Acht Prozent der kostenlosen Android-Apps und 14 Prozent der iPhone-Apps können demnach sogar auf das Kontaktverzeichnis der Nutzer zugreifen.
Oft sammeln Apps auch Daten, die sie eigentlich gar nicht benötigen. Mit diesen Spyware-ähnlichen Programmen lässt sich viel über die Privatsphäre der Nutzer herausfinden.
So fanden Sicherheitsexperten von Symantec im August im Android Market etwa ein kostenloses Spiel namens "Snake Tap", das die GPS-Koordination des Nutzers heimlich an andere Nutzer schickt, die eine kostenpflichtige Spionage-App auf ihrem Smartphone installiert haben. Das Spiel muss allerdings zuerst auf dem Gerät installiert und mit einem Code aktiviert werden, bevor es Daten an fremde Nutzer verschickt. Damit eignet es sich vor allem für Spionageeinsätze innerhalb der eigenen Familie, etwa für eifersüchtige Partner.
"Lücken bleiben auf Smartphones ungepatcht"
Auch wenn es bisher nur vereinzelt Attacken gab, warnt CERT.at-Experte Aaron Kaplan davor, die Gefahr zu unterschätzen. "Wir sind es von der PC-Welt gewohnt, dass es Updates gibt, mit denen automatisch Sicherheitslücken geschlossen werden. Etwas Vergleichbares gibt es in der Smartphone-Welt noch nicht wirklich. Wenn eine Lücke entdeckt wird, bleibt diese daher vorerst ungepatcht." Wenn das im großen Stil ausgenützt werde, sei vieles möglich, so Kaplan.
Eine besonders heikles Problem könnte laut Kaplan auf das E-Banking-System mit den mobile TANs, also den TAN-Codes, die Banken den Nutzern per SMS an die vereinbarte Rufnummer schicken, zukommen. "Das mobile TAN-System hat sich in Österreich weitgehend etabliert. Hier würde es reichen, dass ein Trojaner, der sich etwa in einem Spiel versteckt, den Usernamen und das Passwort ausspäht, mitspeichert, und sich per SMS die TAN-Nummer zuschicken lässt. So könnten Überweisungen getätigt werden, ohne dass der Nutzer das merkt."
Kontostand und Rufnummer-Listen überprüfen
Laut Kaplan sollten Smartphone-Nutzer, die häufig Apps herunterladen und auch E-Banking via Smartphone erledigen, "regelmäßig den Kontostand sowie die Ruf- und SMS-Listen überprüfen". Auch ein Backup der Kontaktdaten erscheint Kaplan sinnvoll, sowie eine Outgoing-Firewall für Smartphones. "Besonders verdächtig ist es außerdem, wenn der Akku plötzlich viel schneller leer wird als sonst üblich. Auch daran lassen sich Trojaner erkennen", sagte Kaplan.
"Man wird sehen, wie rasch sich der Wettbewerb für die Angreifer entwickelt und ob sich einige Köpfe finden werden, die versuchen, im mobilen Bereich ihr Geld zu verdienen", so Pichlmayr. "Sicherheitsangriffe auf Smartphones nehmen auf jeden Fall eher langsam, aber stetig zu."
(futurezone/Barbara Wimmer)