Sicherheitslücke in Java-Handys

Eine manipulierte Java-Applikation kann aus der Virtual Machine ausbrechen und sich uneingeschränkten Zugriff auf sämtliche Funktionen eines Mobiltelefons verschaffen. Das demonstrierte der Sicherheitsexperte Adam Gowdiak vom polnischen Poznan Supercomputing and Networking Center auf der Hacker-Konferenz Hack in the Box in Kuala Lumpur. Die aufgedeckten Sicherheitslücken des Nokia 6310i lassen sich nach seinen Aussagen auf alle Java-fähigen Handys übertragen. Sun hat das Problem gegenüber heise mobil bereits bestätigt.

Ein vom Anwender blauäugig installierter Trojaner, der sich etwa als Handy-Spiel tarnt, könnte mit den gezeigten Tricks großen Schaden anrichten: Persönliche Daten per SMS an beliebige Telefonnummern versenden, teure Internet-Verbindungen aufbauen oder den internen Flash-Speicher überschreiben, um darin weitere Schadfunktionen zu installieren oder das Telefon unbrauchbar zu machen.

Java-Code galt bisher als kaum angreifbar: In der Virtual Machine für Desktop-PCs und Server stellt der so genannte Bytecode Verifier zur Laufzeit sicher, dass die geladenen Java-Klassen der Spezifikation entsprechen und keine verbotenen Operationen enthalten. Bei der abgespeckten Kilobyte Virtual Machine (KVM), der für schwache Handy-Prozessoren optimierten Java-Variante MIDP, hat Sun diese Komponente eingespart. Stattdessen kontrolliert hier ein Preverifier den Bytecode schon auf dem Entwickler-PC und markiert ihn mit speziellen "Stack-Map-Attributen" als ungefährlich.

Adam Gowdiak ist es gelungen, seinen Bytecode so zu manipulieren, dass ihn die KVM als geprüft akzeptiert. Darüber hinaus fand er Mittel und Wege, um mit Java-Funktionen direkt auf den Hauptspeicher des Gerätes zuzugreifen. So konnte er die Systemfunktionen außerhalb der Sandbox nutzen und Daten verändern.

Gowdiak hatte Sun und die Handy-Hersteller bereits Anfang August auf das Problem aufmerksam gemacht. In seinem Vortrag klammerte er wichtige Details aus, um den Herstellern gegenüber böswilligen Programmierern einen Vorsprung zu verschaffen. Wie der Sun-Sprecher Russ Castronovo gegenüber heise mobil bestätigte, hat Sun die Fehler bereits in der Referenzimplementierung behoben und den Handy-Herstellern die neue Version zukommen lassen.

Allerdings konnte noch keiner der von heise mobil kontaktierten Hersteller konkret angeben, wann die Endkunden mit Firmware-Updates rechnen können, die vor der nun sehr realen Bedrohung durch Trojaner und Handy-Dialer schützen. Lediglich Nokia stellt ein Software-Update für das 6310i für Anfang Dezember in Aussicht. Fraglich ist zudem, wie die Updates möglichst viele Endkunden überhaupt erreichen sollen; bisher bietet nur Siemens neue Firmware-Versionen zum Download an. Bei anderen Herstellern ist meist ein Besuch im Service-Center nötig. Sandra Schulz, die beim Branchenverband Bitkom für Sicherheitsfragen zuständig ist, rät den Endkunden, generell keine Software aus zweifelhaften Quellen zu installieren.

Andere Systemumgebungen für mobile Geräte haben erst gar keine Schutzmechanismen eingebaut: heise mobil hat bereits im Juni einen Trojaner als Proof-of-Concept für das Handy-Betriebssystem Symbian präsentiert, über erste echte Trojaner wurde bereits berichtet. Das Konzept des vorverifizierten Bytecodes der MIDP-Umgebung hält Adam Gowdiak nicht für prinzipiell unsicher. Der Fehler liegt nicht im Algorithmus, sondern in der Implementierung, betonte er gegenüber heise mobil. (kav) (ll)