Sicherheitslücke in Handys von Sony Ericsson

Adrian Nowak und Karsten Sohr, Forscher der Universität Bremen, haben in Mobiltelefonen von Sony Ericsson eine Sicherheitslücke ausgemacht, durch die Anwendungen Lese- und Schreibzugriff auf die Systemdateien des Geräts bekommen können. Damit lassen sich beispielsweise Zertifikate austauschen, die die Herkunft zu installierender Programme bestätigen sollen. Angreifer könnten so beliebige Software auf den Geräten installieren, Benutzer die für das "Branding" installierten Logos und Klingeltöne ersetzen.

Beim Installieren der Schadsoftware muss der Benutzer lediglich zustimmen, dass sie Benutzerdaten lesen und schreiben darf, was laut Aussage der Forscher auch bei vertrauenswürdigen Anwendungen üblich ist und deshalb keinen Verdacht weckt. Betroffen sind viele in den Jahren 2005 bis 2007 verkaufte Modelle, etwa K750i, K800i, K810i, T650i und W880i. Auf ihnen läuft nicht das Symbian-OS, sondern ein Betriebssystem von Sony-Ericsson.

Nowak und Sohr konnten den Defekt mit einem Java-Programm demonstrieren. Ob die Lücke im Betriebssystem selbst oder in der Java-VM liegt, ist noch unklar. Zu den Details wollten sich die Wissenschaftler nicht äußern, da Sony Ericsson erst Gelegenheit bekommen solle, den Fehler zu beheben. Von der Firma war bislang keine Stellungnahme zu erhalten.

Im September hatten Forscher des Frauenhofer Instituts für Sichere Informationstechnik (SIT) eine Lücke in Sony Ericssons Passwort-Programm "Code Memo" entdeckt. Sie erleichtert das Knacken darin gespeicherter Kennwörter. (ck)