Neuartiger Malware-Schutz für Smartphones
Ein Xerox PARC-Wissenschaftler hat ein Konzept gegen Schadsoftware auf Handys entwickelt, das nicht nach Virensignaturen sucht, sondern messbare Veränderungen im Gerätespeicher ermittelt.
Der Siegeszug der Smartphones hat seinen Preis: Je mehr Menschen mit ihnen telefonieren und surfen, desto interessanter werden sie als Angriffsziel für Cyberkriminelle. Auf der RSA-Konferenz in San Francisco hat Markus Jakobsson, Wissenschaftler am renommierten Xerox PARC-Forschungszentrum, nun ein neues Abwehrkonzept vorgestellt, berichtet Technology Review in seiner Online-Ausgabe. Mit dem könne man sogar sogar unbekannte Digitalschädlinge bekämpfen – ohne allzu viel Rechenleistung in Beschlag zu nehmen und den Stromverbrauch nennenswert zu erhöhen, versicherte er der versammelten Expertenschar.
Herkömmliche Abwehrmethoden, wie sie seit Langem auf Desktop PCs angewendet werden, lassen sich laut Jakobsson nicht einfach auf Smartphones übertragen. Antiviren-Software identifiziert Schädlinge, indem sie neu hinzugekommene Dateien mit bekannten Virussignaturen in einer umfangreichen Datenbank vergleicht. Dieser Prozess läuft im Hintergrund ab. Die Prozessoren mobiler Endgeräte seien hierfür jedoch nicht stark genug, so Jakobsson. Sein Ansatz nutzt stattdessen einen zentralen Server, der kontinuierlich den Speicher des Geräts nach verräterischen Datenspuren durchsucht, ohne dabei hinter bestimmten Virussignaturen her zu sein.
Auch auf mobilen Geräten gibt es zwei Arten von Speichern: einen Arbeitsspeicher für die aktiven Programme und einen sekundären, auf dem Daten abgelegt sind, die gerade nicht genutzt werden. Jakobssons System nimmt zunächst eine Art Eichung an einem virenfreien Gerät vor: Es schaltet alle Programme ab, die für den Betrieb des Smart Phones an sich nicht nötig sind, zum Beispiel E-Mail-Anwendungen oder Browser. Dann laufen also nur Betriebssystem und das Abwehrprogramm. In diesem Zustand erstellt es einen „Fingerabdruck“ des Arbeitsspeichers.
Hat das Gerät sich nun eine Schadsoftware eingefangen, wird diese einen Teil des RAM-Speichers beanspruchen, um Rechenbefehle ausführen zu können. Wenn der zentrale Server das nächste Mal das Abwehrsystem kontaktiert, wird gemessen, wieviel RAM-Speicher aktuell nicht belegt ist. Dazu werden alle freien Speicherblöcke mit Zufallsdaten vollgeschrieben. Anschließend vergleicht das System diese Datenmenge mit der aus dem Eichprozess, als das Gerät virenfrei war.
Mehr zum Thema in Technology Review online:
(bsc)
