Java-Sicherheit auf Handys ausgehebelt

Ein polnischer Sicherheitsexperte hat erstmals gezeigt, dass eine manipulierte Java-Applikation auf einem Mobiltelefon sämtliche Sicherheitsfunktionen vollständig aushebeln kann. Auf der Konferenz Hack in the Box demonstrierte Adam Gowdiak seinen Exploit auf einem Nokia 6310i. Mit den entdeckten Sicherheitslücken, die im Prinzip sämtliche Java-fähigen Handys aller Hersteller betreffen, konnte der Hacker auf Speicherbereiche und Systemfunktionen des Telefons außerhalb der Virtual Machine zugreifen, ohne dass ein Anwender davon etwas merken würde.

Ein vom Handy-Besitzer blauäugig installierter Trojaner, der sich etwa als Spiel tarnt, könnte mit den gezeigten Tricks großen Schaden anrichten: Persönliche Daten aus dem Telefonbuch und gespeicherte Kurznachrichten könnte ein Schadprogramm etwa per SMS an beliebige Telefonnummern versenden. Sogar teure Internetverbindungen ließen sich aufbauen und der Trojaner könnte den internen Flash-Speicher überschreiben, um darin weitere Schadfunktionen zu installieren oder das Telefon unbrauchbar zu machen.

In einer Java-Virtual-Machine sind einige Sicherheitschecks eingebaut, die das beschriebene Horrorszenario verhindern sollten. In der abgespeckten KVM für Handys verzichtet Sun aus Performancegründen auf eine Sicherheitskontrolle des vom Java-Compiler erzeugten Bytecodes zur Laufzeit, wie es bei den Java-Umgebungen für PCs und Server der Fall ist: Die Bytecode Verifier genannte Komponente läuft nicht auf dem Handy, sondern prüft den Code auf dem Entwickler-PC nach dem Kompilieren, um ihn mit speziellen "Stack-Map-Attributen" als ungefährlich zu markieren. Adam Godwiak ist es gelungen, eigenen Bytecode so zu manipulieren, dass ihn die Handy-VM als geprüft akzeptiert. Darüber hinaus fand er einen Weg, um direkt auf den Hauptspeicher des Gerätes zuzugreifen und damit Systemfunktionen außerhalb der VM zu nutzen und zu verändern.

Godwiak hatte Sun und die Handy-Hersteller bereits vor einiger Zeit auf das Problem aufmerksam gemacht. In seinem Vortrag klammerte er wichtige Details aus, um den Herstellern gegenüber böswilligen Programmierern einen Vorsprung zu verschaffen.

Gegenüber heise security bestätigte Sun-Sprecher Russ Castronovo, dass Sun das Problem seit mehreren Monaten bekannt sei. Man habe mit dem Hacker zusammengearbeitet, die Lücke beseitigt und allen Lizenznehmern eine neue Version der Java-Umgebung zur Verfügung gestellt. Bisher hat aber noch kein Handy-Hersteller konkrete Angaben gemacht, wann entsprechende Firmware-Updates veröffentlicht werden und wie die Endkunden ihre Handys aktualisieren können.

Die im Handy-Java entdeckten Lücken sind brisant und zeigen, dass es auch auf Mobiltelefonen gefährlich ist, Software aus zweifelhaften Quellen zu installieren. Auch für andere Handy-Umgebungen lassen sich Schädlinge programmieren: Das Magazin iX hatte bereits im April dieses Jahres einen eigenen Trojaner als Proof-of-Concept für das Handy-Betriebssystem Symbian entwickelt. (kav)