Der Smartphone-Bot, der mit dem App-Update kam

Dieses Thema im Forum "Allgemeiner Talk" wurde erstellt von Clusterhead, 9. März 2010.

  1. Clusterhead

    Clusterhead Guest

    Hallo Zusammen!

    Der Smartphone-Bot, der mit dem App-Update kam!

    Derek Brown und Daniel Tijerina von TippingPoint haben auf der RSA-Konferenz die Ergebnisse eines Versuchs vorgelegt, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones und per Jailbreak modifizierten iPhones bringen lässt: Die Sicherheitsexperten hatten mit WeatherFist eine Anwendung programmiert, die vordergründig nichts anderes macht, als das Wetter am Aufenthaltsort anzuzeigen.

    Dazu schickt die App die per GPS ermittelte Position an einen Server, der die Koordinaten in die Postleitzahl des Aufenthaltsortes umwandelt und dann an weatherunderground.com schickt. Die App zeigt anschließend schlicht die von dieser Site übermittelten Wetterdaten an. Im Hintergrund könnte WeatherFist jedoch das Smartphone übernehmen und Kurznachrichten oder das Adressbuch auslesen sowie eine Reverse Shell zum Zugriff aus der Ferne öffnen. Auch ließe sich den Entwicklern zufolge ein SMTP-Server an einen Netzwerk-Socket binden und so beispielsweise Spam versenden – ein klassisches Botnetz wäre geschaffen.

    Anders als der erste iPhone-Wurm ikee, der sich über das Mobilfunknetz verbreitet, haben Brown und Tijerina einen anderen Weg gewählt, um ihre Software auf die Smartphones zu schicken: Die Experten haben die Anwendung in verschiedensten App-Sammlungen wie ModMyi.com und SlideME untergebracht und zählten binnen eines Monats fast 8000 Installationen von iPhone- und Android-Anwendern. Innerhalb der ersten 24 Stunden sollen es bereits knapp 1900 Installationen gewesen sein. Das nach wie vor im Netz zu findende WeatherFist bringt aus Sicherheitsgründen natürlich keine der schädlichen Funktionen mit.

    Auf der RSA-Konferenz haben die Forscher jedoch die potenziellen Malware-Fähigkeiten mit einer erweiterten Version namens WeatherFist BadMonkey vorgeführt, die aber nicht veröffentlicht wird. Im Gespräch mit heise security erklärten Brown und Tijerina, dass sie, wären sie Cracker, die bösartige Version binnen kürzester Zeit über eine automatische Update-Funktion auf die Smartphones schicken können. Die bereits bei der Installation von WeatherFist von den Anwendern freigegebenen Zugriffe auf das GPS-Modul, das Dateisystem des Smartphones und des Netzwerk-Stacks würden einfach beibehalten – ideale Voraussetzung für Malware.

    Ihrer Ansicht nach hätten die Betreiber der Online-App-Sammlungen schon beim harmlosen WeatherFist stutzig werden müssen. Denn die Anwendung schickt beispielsweise die GPS-Daten völlig unnötig an den Server: Die Smartphones bringen eigene APIs hierfür mit. "Offenbar hat sich keiner den Code wirklich genau angesehen. 20 Minuten nach Einsenden der App war die Software im Store online. Von daher wird bei einem Update auch keiner mehr stutzig werden. Egal, wie viel schädlicher Code darin verborgen ist", betont Brown.

    Einzig Apples AppStore böte einen gewissen Schutz vor bösartigen Anwendungen. Hier gebe es laut Brown und Tijerina rigorose Checks des Sourcecodes auf mögliche Sicherheitsprobleme durch Buffer Overflows, Copyright-Verstöße sowie erlaubte Protokolle und APIs. Angesichts solch tiefgreifender Checks würden Brown zufolge bösartige Funktionen, die sich hinter einer vermeintlich harmlosen App verstecken, sicher sofort auffallen. Updates würden nach den gleichen strengen Kriterien getestet. Bei Google sei man weniger gründlich, sagten die Sicherheitsexperten. Dort verlasse man sich offenbar auf die Wachsamkeit der Community. Zuletzt hatte es jedoch schon ein Banking-Trojaner auf Googles Android Market geschafft, der Anwendern die Login-Daten für Banken stehlen wollte.

    Das Fazit der Experten ist so simpel wie wahr: Smartphone-Anwender sollten Anwendungen nur aus vertrauenswürdigen Quellen beziehen. Leider gebe es derzeit außer Apples AppStore keine Sammlungen, die Anwendungen ähnlich gründlich unter die Lupe nehmen.

    Quelle: heise.de heise online - Der Smartphone-Bot, der mit dem App-Update kam

    Gruss Clusterhead
     
  2. peterleinchen

    peterleinchen VIP Mitglied

    Registriert seit:
    27. Juni 2009
    Beiträge:
    1.556
    Zustimmungen:
    3
    war ja nur ne frage der zeit...

    und besonders frage ich mich, wann es an der zeit, dass wir "nokianer" damit konfrontiert werden?
     
  3. dodotech

    dodotech VIP Mitglied

    Registriert seit:
    14. Sep. 2006
    Beiträge:
    2.711
    Zustimmungen:
    2
    also das ist ja mal eine Neuigkeit , die nicht so wirklich toll ist .......

    Der erste bot hat schon für ziemliche fuore gesorgt , und nun diese Apps .............

    Ziehen wir uns also warm an .............
     
  4. zedek

    zedek Neues Mitglied

    Registriert seit:
    25. Dez. 2009
    Beiträge:
    179
    Zustimmungen:
    1
    hoffen wir mal das die Entwicklung für Anti-Virenprogrammen für Smartphones da mitzieht und nicht erst einsetzt wenn das große Chaos schon voll im Gange ist.
     
  5. Andreas91

    Andreas91 VIP Mitglied

    Registriert seit:
    27. Apr. 2008
    Beiträge:
    1.019
    Zustimmungen:
    12
    ich frage mich wie sicher windows mobile ist:confused:

    mein bb hat ja firewall und so :D
     
    #5 Andreas91, 12. März 2010
    Zuletzt bearbeitet: 12. März 2010