© rts

Sicherheitslücken
03/19/2012

Hacker schießen sich auf Smartphone-Apps ein

Vor allem das Betriebssystem Android stand auf der Konferenz "Black Hat Europe" in Amsterdam im Zentrum der Kritik. Auch nach der Einführung des "Bouncers", der manipulierte Apps automatisch filtern soll, kann Malware einfach in den "Google Play"-Store geschummelt werden. Auch der Schutz von Daten in vielen Apps (auch am iPhone) lässt zu wünschen übrig.

von Jakob Steinschaden

"Baby, du warst spitze heute Nacht!” Um eine intime SMS wie diese von einem Android-Handy auszulesen, braucht Tyrone Erasmus nur wenige Minuten. Der südafrikanische Security-Experte, tätig bei den auf Sicherheitslösungen spezialisierten MWR Labs, hat sich auf das Auffinden von Sicherheitslücken im mobilen Betriebssystem Android spezialisiert - und mit dem selbst entwickelten Programm "Mercury” ist er fündig geworden. Dieses "Testing Framework” dient, einmal auf einem Smartphone installiert, als eine Art Schwachstellen-Scanner. Ihm Rahmen der Black Hat Europe-Konferenz führte Erasmus "Mercury” einem breiten Fachpublikum vor.

Spürnase für Lücken
Trotz Zugriffsbeschränkungen kann "Mercury” andere Apps auf dem Smartphone einfach anzapfen und von dort persönliche Daten wie SMS, E-Mails, Chat-Nachrichten oder Facebook-Einträge auslesen und ins Web schicken. Erasmus ist damit etwa bei Apps wie "Social Hub”, "IM” oder vorinstallierten Programmen wie Wetter- oder Notizen-Widgets (Hersteller von Android-Handys kaufen diese oft extern ein) fündig geworden. "So kann man sehr detaillierte Nutzerprofile erstellen, weil man fast alles findet, was man über den Besitzer des Handys wissen will", so Erasmus. Schuld an den teilweise gravierenden Sicherheitsmängeln seien oft Zeitdruck und fehlendes Know-how bei der Entwicklung.

"Mercury” soll deswegen in Zukunft bei der Bekämpfung dieser Probleme helfen und App-Entwicklern auf einfache Weise erlauben, nach Schwachstellen zu suchen, bevor sie ihre Apps veröffentlichen. Der Programm-Code soll ihnen via Github zur Verfügung gestellt werden - Weiterentwicklung der Software ist erwünscht.

Android im Kreuzfeuer
Kaum ein gutes Haar an Android ließen auf der "Black Hat Europe” auch die beiden US-Sicherheits-Forscher Dan Guido (Trail Of Bits) und Mike Arpaia (iSEC Partners): In ihrer Analyse verglichen sie Googles Betriebssystem mit Apples iOS. "Es werden immer mehr persönliche Daten auf Smartphones gespeichert, und das macht sie zu immer interessanteren Angriffszielen", sagte Guido. 2011 hätte es mehr als 500 verschiedene Angriffsvarianten auf mobile Geräte gegeben, künftig rechnet er mit einer Fokussierung der Cracker auf Android - aus mehreren Gründen.

Im Vergleich zu iOS biete Android mehr Angriffsfläche. Das beginnt bei den Apps: Apples "App Store” sei sehr kontrolliert, Entwickler müssten sich mit einer echten Identität anmelden, und die eingereichte Software selbst würde auf Content und Code von einem Mitarbeiter überprüft werden. Anders im "Google Play”-Store: Dort würde vorrangig per "Bouncer”-Software automatisiert nach App-Schädlingen gesucht werden, was noch nicht so gut funktioniere. Außerdem sei es bei Android-Apps möglich, Schad-Code erst nach der Installation am Gerät aus dem Netz zu laden und so die Bouncer-Sicherung zu umgehen.

Ein weiteres Problem von Android, das aufgezeigt wurde: Die Auslieferung von Patches würde für viele Nutzer oft länger als 200 Tage dauern (ein generelles Problem des Android-Ökosystems), während Apple innerhalb von vier bis zehn Tagen mit Sicherheits-Patches reagieren kann. Negativ für Android ist dabei wohl auch die immer größere Verbreitung: Eine

bescheingte Googles mobiler Plattform im Februar einen Marktanteil von mehr als 50 Prozent bei Smartphones, während iOS bei etwa 24 Prozent liegt. "Android wird immer häufiger mit Schad-Code kompromittiert werden", fasst Guido zusammen. "Bei iOS werden solche Attacken eher nicht mehr passieren."

Auch iPhone-Apps in der Kritik
Trotz strikterer Sicherheitsbestimmungen hat auch das iPhone sein Fett auf der "Black Hat Europe” wegbekommen. So zeigten Andrey Belenko und Dmitry Sklyarov von der russischen Security-Firma Elcomsoft schwere Mängel bei einer Sorte Apps auf, von der man eigentlich hohe Sicherheitsmaßnahmen erwarten würde: Passwort-Manager. Belenko und Sklyarov untersuchten 20 Apps, mit denen sich Kennwörter für andere Programme verwalten und von einem Master-Passwort schützen lassen - und können lediglich für zwei davon (strip Lite und mSecure) eine vorsichtige Empfehlung aussprechen.

Andere Apps wie "My Eyes Only”, "Password Safe”, "Safe Wallet”, "Data Vault”, "LastPass” oder "1Password Pro” würden die Passwörter der Nutzer nur unzureichend schützen. Oft würden die verwalteten Passwörter (und manchmal auch das Master-Passwort) nicht verschlüsselt abgelegt werden, bei "My Eyes Only” würde zudem ein Verschlüsselungsstandard aus dem Jahr 1999 zum Einsatz kommen, der heute nicht mehr sicher sei. Generell seien kostenpflichtige Versionen der Apps den Gratis-Varianten zu bevorzugen, weil Hacker sie binnen Stunden knacken könnten. Sklyarov: "Wenn das Gerät nicht gründlich konfiguriert ist, bieten die Apps keinen ausreichenden Schutz.”

Mehr zum Thema

  • Black Hat: Die Lust an der Sicherheitslücke
  • US-Einreise: Schutz vor Computer-Durchsuchung
  • “War texting”: Experte warnt vor Auto-Hacks