Risiko Smartphone

Banking-App, PayPal-App, Facebook, Mail-Konten, iTunes, WLANs, VPNs: Gelangt das eigene Smartphone unter die Kontrolle von Kriminellen, ist nicht nur die Privatsphäre futsch, es droht auch ein finanzielles Desaster. Die Konzentration von Finanz- und Zugangsdaten macht das Smartphone für Kriminelle zur lukrativen Zielscheibe. Selbst das Belauschen von Telefongesprächen und das heimliche Umfunktionieren des Smartphones in eine Abhörwanze oder eine Überwachungskamera ist mit speziellen Apps machbar. Sogar die nahezu ausgestorbenen Dialer werden wieder zum Thema, die ohne Zutun des Anwenders überteuerte Nummern anwählen. Zugleich sind die Geräte mobile Datenspeicher, die man verlieren kann oder die einem gestohlen werden können. Gerade für Unternehmen ist das Ausspionieren von Geschäftsinformationen ein nicht zu unterschätzendes Risiko.

Der iPhone-Hersteller Apple und Android-Anführer Google haben versucht, einer Entwicklung wie auf Windows-PCs vorzubeugen und ihre Plattformen gleich vorab mit diversen Sicherheitsfunktionen versehen. Sie sollen die verschiedenen Einfallstore für Hacker, Viren und Betrüger blockieren. Doch können sie einen Einbruch ins Gerät wirklich verhindern?

Üblicherweise übernimmt ein Angreifer die Kontrolle über ein Gerät, indem er eine spezielle Software einschleust und diese fernsteuert. Grundsätzlich kann derartige Software per Bluetooth, MMS-Nachrichten, E-Mail, per Download oder über Sicherheitslücken in ein Gerät gelangen. Der beliebteste Weg von Malware auf Smartphones ist aktuell der manuelle Download durch den Anwender selbst, indem der Angreifer seine mit Spionage- oder Fernsteuerfunktionen ausgestattete Software als vermeintlich nützliche „Muss-man-unbedingt-haben“-App tarnt. Dabei haben Betrüger leichtes Spiel: iPhone und Android erreichen ihre Popularität durch die Fülle von Apps für fast jeden Anwendungsfall – und in der Masse fallen bösartige Apps weniger auf. Auf PCs ist Software aus Quellen, deren Seriosität und Integrität sich nur schwer nachvollziehen lässt, ein Jahrzehnte altes, ungelöstes Problem.

Trau, schau, wem!

Apple versucht Malware-Apps auf dem iPhone einen Riegel vorzuschieben, indem Anwendern nur die Installation von Programmen über einen kontrollierbaren Weg erlaubt ist: den App Store. Nur registrierte Hersteller und Entwickler dürfen dort ihre Apps zum Download feilbieten. Zudem unterzieht Apple die Apps einer kurzen Prüfung, ob sie sich an die Geschäftsbedingungen halten, sprich auf den Geräten keinen Unfug anstellen. Wie eingehend diese Prüfung ist, verrät Apple nicht. Sicherheitsspezialisten vermuten, dass Apple die eingereichten Binärdateien einer kurzen statischen und dynamischen Analyse unterzieht. Dabei schaut Apple, ob die App unerlaubte API-Aufrufe nutzt oder auf unerlaubte Ordner, Daten anderer Anwendungen oder Ressourcen zugreift. Ob dies Malware wirklich draußen halten kann, darf bezweifelt werden. So sind einige Fälle dokumentiert, in denen Apps persönliche Daten sammelten und an den Server der Entwickler schickten.

Im Juli 2008 wurde beispielsweise das Spiel „Aurora Feint“ aus dem App Store entfernt, weil es sämtliche gespeicherten Kontaktdaten zum Herstellerserver hochlud, um Vergleiche anzustellen, ob Freunde ebenfalls das Spiel spielten. Im August 2009 wurde bekannt, dass Spiele des Herstellers Storm8 sowohl die Geräte-ID als auch die Telefonnummer an einen Server sendeten. Es ist nicht unwahrscheinlich, dass weiterhin Apps mit fragwürdigem Verhalten durch die Kontrollen rutschen, insbesondere weil mittlerweile tausende neue Apps pro Woche auf Apple einprasseln.

Google stellt zwar mit dem Android Market ebenfalls einen zentralen Software-Pool bereit, verlagert die Analyse jedoch auf den Nutzer: Dazu fragt Android bei der Installation jeder App nach, ob man ihr Zugriffsrechte auf Ressourcen wie GPS, das Adressbuch und Telefonie gewährt. Allerdings fällt es schwer, allein aus dem Wunsch nach dem Zugriff eine mögliche Bedrohung abzuleiten. Eine App für SMS wird auf das Adressbuch zugreifen und von der Telefonfunktion Gebrauch machen wollen – könnte aber auch ungefragt Kurznachrichten an teure SMS-Chats senden. Mitte August wurde ein als Media-Player-App getarnter Dialer für Android gesichtet, der vom Anwender unbemerkt teure SMS-Nummern wählte. Dass die App dies tun könnte, hat sich dem Anwender zwar bei der Installation bereits angekündigt, allein genützt hat es nichts: Viele haben sich die App trotzdem installiert. Nicht selten schildern Android-Anwender, dass sie den angezeigten Rechten ohnehin keine Beachtung mehr schenken würden und die Nachfrage ungeprüft abnicken.

Schuld daran sind zum Teil die App-Entwickler, die sich oftmals keine Gedanken darüber machen, auf welche Ressourcen ihr Tool zugreifen muss, und im Zweifel eher zu viel Rechte erfragen. Dann fordert etwa der schnöde Kalorienrechner überraschenderweise Zugriffsrechte auf das GPS-Modul und den Telefonstatus. Da sich diese Programmierunsitte offenbar epidemisch unter Android-Entwicklern verbreitet, werden Anwender im Laufe der Zeit desensibilisiert und in der Folge installieren sie Apps bedenkenlos – egal was Android meldet. Und nicht selten geraten Android-Apps aufgrund zu viel angefragter Rechte unter falschen Verdacht, den Anwender auszuspionieren.

Den vollständigen Artikel finden Sie in c't 20/2010.

Mehr Infos

Angriffsziel Smartphone

Artikel zum Thema "Angriffsziel Smartphone" finden Sie in c't 20/2010:

• Spionage und Abzocke auf Android und iPhone abwehren - Seite 80
• Mobile Apps im Sicherheits-Check - Seite 86

(dab)