Security

BBC: Spionage-App zeigt Smartphone-Schwächen

Die britische BBC hat in einem Experiment mit Standard-Tools eine Java-App erstellt, die getarnt als Spiel ihre Nutzer unbemerkt ausspioniert und prangert die mangelnde Sicherheit von Smartphones an. Unterdessen ist der erste SMS-Trojaner für Android aufgetaucht.

SMS schreiben© Andres Rodriguez / Fotolia.com

In einem einmaligen Experiment hat die britische BBC in Zusammenarbeit mit Sicherheitsexperten eine manipulierte Java-App erstellt. Entworfen wurde die als Spiel getarnte Schadsoftware mit einem frei verfügbaren Software-Baukasten für App-Entwickler. Während der ahnungslose Testnutzer damit seine Zeit vertrieb, übermittelte das Programm im Hintergrund unbemerkt persönliche Daten. Ziel der Aktion ist die Sensibilisierung der Öffentlichkeit für die mangelnde Sicherheit heutiger Smartphones. Bislang wird die Problematik von Nutzern, Herstellern und Software-Entwicklern jedoch nur rudimentär behandelt – obwohl der erste SMS-Trojaner für Android bereits sein Unwesen treibt.

Kein öffentliches Bewusstsein vorhanden

Wohin das schlimmstenfalls führen kann, zeigt die jüngere IT-Geschichte. Denn nicht einmal zehn Jahre ist es her, als das Netz in der Gesellschaft großflächig Fuß fasste. Kurz zuvor, im Jahr 1999, war ein eigener Internetanschluss noch die große Ausnahme. Laut Bundesnetzagentur lag die Zahl der Webnutzer mit Beginn des Jahres 2000 bei gerade einmal zwölf Millionen. Meist gelangten sie über eine teure Wählverbindung per Modem ins Netz zu Stundenpreisen von durchschnittlich 3 Deutsche Mark. Pro Surfer betrug die durchschnittliche Online-Zeit in Deutschland zehn Stunden – im Monat. Kurzum: Das Web entwuchs gerade seinen Kinderschuhen und erhielt durch die ersten ADSL-Anschlüsse zusätzlichen Auftrieb.

Das Thema Internetsicherheit spielte zu dieser Zeit noch kaum eine Rolle. Auch ein öffentliches Bewusstsein für die Gefahren der zunehmenden Vernetzung fehlte weitgehend. Wenige Monate später änderte sich das jedoch schlagartig: der I-love-you-Virus verbreitete sich in Windeseile über E-Mail-Nachrichten und sorgte weltweit für Milliardenschäden.

Spionage-App in wenigen Wochen mit Standard-Baukasten erstellt

Diese Entwicklung droht sich mit dem Smartphone zu wiederholen. Obwohl mobiles Internet seit Jahren auf dem Vormarsch ist und die zunehmende Vernetzung als essentieller Teil des Smartphone-Konzeptes gefeiert wird, bleibt der Schutz vor Schadsoftware durch Hersteller und App-Store-Betreiber bislang ein halbherziges Unterfangen. Die Mini-Computer stünden heute an dem Punkt, an dem der PC 1999 stand, warnt daher IT-Experte Chris Wysopal. Der Mitgründer der britischen Sicherheitsfirma Veracode begleitete das BBC-Experiment.

Es sollte demonstrieren, wie einfach Kriminelle eines der sonst so schlauen Handys unterwandern können - unabhängig von der verwendeten Plattform. Mithilfe eines Entwickler-Tools für Apps und einiger Codeschnipsel aus dem Internet gelang es nach BBC-Angaben einem ungeübten Redakteur innerhalb weniger Wochen, ein manipuliertes Spiel zu programmieren. Dessen einziger Zweck lag in der Datensammlung – 250 des insgesamt 1.500 Zeilen umfassenden Programmcodes dienten der Spionage.

Weiter auf Seite 2: Der erste SMS-Trojaner für Android ist da - Aufstieg der Malware-Apps.

Bereits die simple Spiele-App war so in der Lage, unbemerkt Kontaktlisten, SMS-Nachrichten sowie den per GPS ermittelten Standort des Smartphones zu übermitteln. Dabei nutzte das Programm lediglich Funktionen, die für jeden Entwickler zugänglich sind. Nach außen könne eine solche App als Spiel erscheinen und sich gleichzeitig unter der Oberfläche völlig anders verhalten, so Wysopal. Spyware dieser Art sei bereits im Internet gefunden worden - auch in App Stores als Download.

"Gut" oder "böse"? Unterscheidung oft schwierig

Ein Grund: Obwohl Anbieter wie Apple, Google oder BlackBerry-Hersteller RIM durch verschiedene Prüfverfahren und Richtlinien versuchen, Schadsoftware aus ihren App Stores fernzuhalten, ist die Unterscheidung zwischen nützlichen und bösartigen Apps nicht so eindeutig, wie auf den ersten Blick zu vermuten. So sagt Ilya Laurs, Gründer der unabhängigen Download-Plattform GetJar, es sei oft sehr schwierig, den Sinn sowie die Rechtmäßigkeit von App-Funktionen zu beurteilen. Zudem würden Kriminelle mit hoher Wahrscheinlichkeit einfach eine existierende App mit Schadcode modifizieren. "Es ist weit weniger Aufwand, eine andere Applikation zu hacken, als selbst etwas Neues zu schreiben", so Laurs gegenüber der BBC. Ein solches Vorgehen werde häufig gewählt, um möglichst viele Nutzer zu erreichen. Wer etwa eine populäre App manipuliere und zum freien Download anbiete, erhöhe seine Erfolgschancen.

Um sich zu schützen sei es daher ratsam, Apps nur aus vertrauenswürdigen Quellen zu beziehen und auf illegale Kopien zu verzichten. Auch sollten Smartphone-Nutzer häufiger Datensicherungen durchführen, um vor Problemen gefeit zu sein. Der Sicherheitsexperte Nigel Stanley verweist zudem auf eine plötzlich nachlassende Akkuleistung als Indikator für unbemerkte Aktivitäten auf dem Gerät. Darüber hinaus sei die Mobilfunkrechnung ein wichtiges Indiz. Würden dort merkwürdige Anrufe zu teuren Sondernummern aufgeführt, könnte eine versteckte Software dafür verantwortlich sein, so Stanley.

Erster SMS-Trojaner für Android aufgetaucht

Eben dieser Methodik bedient sich der erste SMS-Trojaner für das Google-Betriebssystem Android, der Anfang der Woche durch das russische Sicherheitsunternehmen Kaspersky entdeckt wurde. Der sogenannte Trojan-SMS.AndroidOS.FakePlayer kommt getarnt als App zum Abspielen von Mediendateien und verschickt nach Installation unbemerkt Kurznachrichten an teure Mehrwertdienste. Dies ist aber nur der Anfang einer neuen Virenwelle, glaubt Kaspersky-Experte Denis Maslennikov.

"Die Marktforschungsgesellschaft IDC hat festgestellt, dass Android-Geräte die höchsten Zuwachszahlen im Smartphone-Bereich aufweisen. In der Folge erwarten wir einen raschen Anstieg im Aufkommen von Schadsoftware für die Plattform", so Maslennikov. Nutzer sollten daher generell bei der Installation von Programmen darauf achten, welche Dienste diese beanspruchen. Fragt etwa ein Medienplayer bei der Installation nach Rechten für SMS- und Anruffunktionen, ist gesundes Misstrauen angebracht.

(Christian Wolf)

Kommentieren Community

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!



Weitere Infos zum Thema
Zum Seitenanfang