Einführung in die Virologie mobiler Geräte, Teil 2

  1. Einführung in die Virologie mobiler Geräte, Teil 1
  2. Einführung in die Virologie mobiler Geräte, Teil 2

Epidemien

Versuchen wir im Folgenden herauszufinden, wie weit mobile Viren heute verbreitet sind. Häufig hört man sowohl von Anwendern als auch von Journalisten den Vorwurf, dass die Antivirus-Unternehmen eine künstliche Panik erzeugten und hinsichtlich der Gefahren übertrieben. Es gäbe ja nur geringe Chancen zur Verbreitung von Cabir, da der Anwender den Empfang, den Start und die Installation des Virus’ bestätigen muss. Und auch ComWar könne gar nicht weit verbreitet werden, da MMS-Funktionen nicht sehr oft benutzt werden (es heißt, nur etwa 2% der Anwender würden MMS nutzen). Über die Gefahr einer Infizierung durch Trojaner wie Skuller möchten viele gleich gar nichts wissen – man müsse ihn (so nehmen sie an) erst aus dem Internet laden, aufs Handy kopieren und dann starten.

Rein theoretisch klingen diese Aussagen logisch und überzeugend. Doch sie werden laufend von der Realität widerlegt. Die Wahrscheinlichkeit, dass ein Anwender Cabir annimmt und startet ist genauso hoch wie die Wahrscheinlichkeit, dass ein Anwender eine Datei zulässt und startet, die ihm per E-Mail von einem unbekannten Absender geschickt wurde. Die Anwender starten diese Dateien! Erinnern Sie sich an die gigantischen Epidemien der E-Mail-Würmer in den vergangenen Jahren: Mydoom, NetSky, Sober. Ununterbrochen warnten Antivirus-Unternehmen: «Starten Sie keine unbekannten Dateien, die per E-Mail eingehen und überprüfen Sie diese mit einem Antiviren-Programm». Doch es half nichts – die menschliche Neugier war stärker und führte zur Missachtung elementarer Sicherheits-Regeln.

Cabir

Cabir wurde den Antivirus-Unternehmen im Juni 2004 zugespielt. Nur einen Monat später wurde bekannt, dass auf den Philippinen bereits Infektionen vorliegen. Damals nahmen wir an, dass Cabir ein «Sammler-Exemplar» sei und niemals die Grenzen der Antivirus-Sammlungen verlassen würde. Die Praxis bewies jedoch, dass Cabir nicht nur die Antivirus-Unternehmen erreichte, sondern auch die Virenschreiber. Der Wurm kam in die freie Wildbahn und begann seinen Siegeszug um die Welt.

Wir arbeiten schon lange mit dem finnischen Unternehmen F-Secure zusammen, eines der ersten Unternehmen, das den Problemen der mobilen Viren Aufmerksamkeit schenkte und Forschungen auf diesem Gebiet betrieb. F-Secure legte sofort eine Liste der Länder an, in den Cabir entdeckt wurde. Innerhalb nur eines Jahres enthielt die Liste 20 Länder. Wir führten eine ähnliche Statistik und beide Listen wurden abgeglichen. Außerdem erhielten wir Bestätigungen über Infektionen aus unterschiedlichen Ländern, die bereits in der Liste enthalten waren. Damit können wir sagen, dass sie tatsächlich die reale Lage widerspiegelt.

Seit etwa einem Jahr aktualisieren wir diese Liste nicht mehr, denn Cabir war bereits in zig Ländern ausgebrochen, darunter in jenen, die zu den technologisch am höchsten entwickelten zählen.

1. Philippinen
2. Singapur
3. Vereinigte Arabische Emirate
4. China
5. Indien
6. Finnland
7. Vietnam
8. Türkei
9. Russland
10. UK
11. Italien
12. USA
13. Japan
14. Hong Kong
15. Frankreich
16. Südafrika
17. Niederlande
18. Ägypten
19. Luxemburg
20. Griechenland
21. Ukraine
22. Neuseeland
23. Schweiz
24. Deutschland

Liste der Länder, in den Cabir entdeckt wurde, Stand September 2005 (gemeinsame Daten von F-Secure und Kaspersky Lab).

Einige konkrete Beispiele für Cabir-Infektionen: An neunter Position in der Liste befindet sich Russland. Im Januar 2005 erfuhren wir, dass Cabir Handys in der Moskauer U-Bahn attackiert. Ähnliches hörten wir auch aus der Ukraine – dort tauchte Cabir in Kiew und Charkov auf. Wir konnten diese Vorfälle jedoch nicht als bestätigt behandeln, da uns kein einziges infiziertes Telefon vorlag und kein einziger Anwender sich mit diesem Problem an Kaspersky Lab wandte. Doch schon bald konnte diese Lücke geschlossen werden. Die Mitarbeiterin eines Unternehmens, das sich im selben Gebäude befand wie Kaspersky Lab, wandte sich direkt an unseren technischen Support. Sie beklagte sich darüber, dass sich ihr Handy «eigenartig verhielt». Es begann, nachdem sie in der U-Bahn über Bluetooth eine Datei empfing. Wir untersuchten es in unserem Virenlabor und unser Verdacht bestätigte sich – es handelte sich um Cabir.a.

Im folgenden Jahr konnten wir mehrfach infizierte Handys untersuchen. Selbst in unserem Unternehmen wurden die Handys von mehr als 10 Mitarbeitern von Cabir attackiert. Sie erhielten Anfragen, die Datei mit dem Namen caribe.sis anzunehmen – zuletzt im Februar 2006.

Die wahrscheinlich größte lokale Epidemie mit Cabir war während der Leichtathletik-WM in Helsinki im August 2005 zu beklagen. Da sich in Helsinki sich auch die Zentrale von F-Secure befindet, erhielt das Unternehmen als erster AV-Hersteller Informationen über Cabir-Infektionen im Stadion. Ein einziges infiziertes Handy reichte für die schnelle Verbreitung des Wurms aus, da sich auf geringer Fläche zehntausende Menschen aus aller Welt aufhielten. Im Stadion wurden Sport-Rekorde aufgestellt, gleichzeitig stellte Cabir seinen Verbreitungs-Rekord auf den Tribünen auf. Zum Glück handelten die F-Secure-Mitarbeiter sehr schnell: Im Customer Service Center des Stadions wurde eigens ein Stand eingerichtet, wo die Telefone überprüft und bei Befall vom Virus gesäubert wurden. Hätte man die Epidemie nicht lokalisieren können, so wären die Fans wieder nach Hause gefahren, hätten die infizierten Handys mitgenommen, und die Zahl der Cabir-infzierten Länder wäre beträchtlich gestiegen.

An diesem Beispiel erkennt man die günstigsten Voraussetzungen für eine Verbreitung von Bluetooth-Würmern:

  • große Menschenansammlungen
  • begrenzte Fläche.

Zur Risiko-Zone gehören Gaststätten, Cafés, Kinos, Flughäfen, Bahnhöfe und U-Bahn.

Bluetooth-Würmer verfügen über die folgenden Verbreitungs-Besonderheiten:

  • der Infektions-Radius beschränkt sich auf den Radius der Bluethooth-Verbindung – etwa 10 bis 20 Meter
  • der Bluetooth-Wurm kann nicht zielgerichtet, etwa nach einer zuvor festgelegten Liste, infizieren. Die Infektion erfolgt spontan wenn ein angreifbares Gerät im Infektions-Radius auftaucht.

ComWar

Der zweite wichtige mobile Wurm war ComWar. Im Unterschied zu Cabir, der zunächst an die Antivirus-Unternehmen verschickt wurde und erst dann in der freien Wildbahn auftauchte, wurde ComWar entdeckt, nachdem bereits Anwender mehrerer Länder attackiert worden waren und verdächtige Dateien zur Analyse in die Antivirus-Labore schickten. Wir lernten ComWar im März 2005 kennen, nachdem er schon seit Januar in unterschiedlichen Handy-Foren erwähnt worden war. So kann man also sicher sagen, dass sich ComWar mindestens zwei Monate verbreitete, bevor Antivirus-Unternehmen ihn zu fassen kriegten. Dies zeigt, wie schwach die Zusammenarbeit zwischen Anwendern und Antivirus-Unternehmen im Handybereich bislang ausgeprägt ist. Vermutet ein Computer-Anwender bei verdächtigem Verhalten des Systems sofort einen Virus und wendet sich an uns, so ist das bei Handy-Anwendern noch nicht üblich.

F-Secure registrierte – wie schon bei Cabir – sämtliche Informationen über die Länder, in denen ComWar auftauchte. Wir glichen unsere Daten ab und kamen zu folgendem gemeinsamen Ergebnis:

1. Irland
2. Indien
3. Oman
4. Italien
5. Philippinen
6. Finnland
7. Griechenland
8. Südafrika
9. Malaysia
10. Österreich
11. Brunei
12. Deutschland
13. USA
14. Kanada
15. UK
16. Rumänien
17. Polen
18. Russland
19. Niederlande
20. Ägypten
21. Ukraine
22. Serbien

Liste der Länder, in denen ComWar entdeckt wurde, Stand September 2005 (gemeinsame Daten von F-Secure und Kaspersky Lab)

Es ist bemerkenswert, dass beide Listen fast gleich viele Länder enthalten (23 Länder für Cabir und 22 für ComWar). ComWar erschien acht Monate nach Cabir – jedoch erlaubte ihm seine gefährlichere Verbreitungsmethode, den Vorgänger schneller einzuholen. Erinnern wir uns, dass sich ComWar über MMS-Mitteilungen verbreitet, die auf beliebige Entfernung versandt werden können. Wir nehmen an, dass die Zahl der aktuell mit ComWar infizierten Länder bereits höher ist als die mit Cabir infizierten.

In jedem Land, das in der Liste aufgeführt ist, wurde mindestens eine Infektion entdeckt. Auf Grundlage dieser Liste dürfen allerdings keine Schlussfolgerungen über die Verbreitung des jeweiligen Wurms in den genannten Ländern gezogen werden. Ausgehend von indirekten Merkmalen können nur Annahmen aufgestellt werden.

Zum Glück interessieren sich für das Problem der MMS-Würmer nicht nur Antivirus-Unternehmen, sondern auch Provider. Sie sorgen sich um den Schutz ihrer Anwender, und einige russische Anbieter setzen in ihren Netzen bereits unsere Antiviren-Lösungen ein. Diese ähneln sehr den traditionellen Lösungen zur Überprüfung von E-Mails.

Mittlerweile verfügen wir über statistische Daten zu mobilen Viren. Es zeigte sich, dass im MMS-Traffic nicht nur mobile Übeltäter ihr Unwesen treiben, sondern auch traditionelle Computerviren. Dies hängt damit zusammen, dass sie sich selbst an E-Mail-Adressen versenden, die auch MMS-Adressen sein könnten.

Wir erhielten die folgenden Zahlen durch eine Überprüfung des gesamten MMS-Traffics eines russischen Mobilfunk-Providers. Die Gesamtzahl der überprüften MMS wird auf Wunsch des Providers nicht veröffentlicht.

Name des Schadprogramms Zahl der infizierten MMS
Worm.SymbOS.ComWar.a 4733
Worm.SymbOS.ComWar.c 450
Trojan-SMS.J2ME.RedBrowser.b 1

Statistik vom 11. – 17. Juni 2006

Name des Schadprogramms Zahl der infizierten MMS und Veränderung im Vergleich mit dem vorherigen Zeitraum
Worm.SymbOS.ComWar.a 5498 (+765)
Worm.SymbOS.ComWar.c 854 (+404)
Trojan-SMS.J2ME.RedBrowser.b 1

Statistik vom 18. – 24. Juni 2006

Name des Schadprogramms Zahl der infizierten MMS und Veränderung im Vergleich mit dem vorherigen Zeitraum
Worm.SymbOS.ComWar.a 4564 (-934)
Worm.SymbOS.ComWar.c 756 (-98)

Statistik vom 25.Juni – 1.Juli 2006

Name des Schadprogramms Zahl der infizierten MMS und Veränderung im Vergleich mit dem vorherigen Zeitraum
Worm.SymbOS.ComWar.a 4837 (+273)
Worm.SymbOS.ComWar.c 698 (-58)
Worm.SymbOS.ComWar.d 6 (+6)

Statistik vom 1. – 7. Juli 2006

Sehen wir uns ComWar.d in der Statistik genauer an: Diese Modifikation wurde in einem spanischsprachigen Land erstellt. Umso erstaunlicher ist, dass sie im russischen MMS-Traffic auftauchte. Dazu kommt, dass ComWar.d bereits im März 2006 entdeckt wurde und vier Monate später Russland erreichte.

Auch eine bemerkenswerte Handy-Infektion mit ComWar auf hoher See möchte ich erwähnen: Im Juni 2006 führte Kaspersky Lab seine Partnerkonferenz in Griechenland durch. Einige der Mitarbeiter machten im Anschluss einige Tage Yacht-Urlaub im Ägäischen Meer. Der Kapitän wandte sich mit einem Problem an sie: Auf seinem Nokia-Smartphone gingen ständig seltsame Mitteilungen über nicht zugestellte MMS ein, obwohl er keine MMS versandt hatte. Die Kaspersky-Mitarbeiter luden über das Internet die Beta-Version von Kaspersky Anti-Virus Mobile herunter, mit dessen Hilfe der Grund für die Mitteilungen herausgefunden wurde: das Gerät war mit ComWar infiziert.

Außer Cabir und ComWar gibt es in unseren Signaturdatenbanken auch einige Modifikationen der Trojaner Skuller, Drever, Appdisabler, Cardtrap, PbStealer, RedBrowser, Doombot, Flexispy und des Wurms StealWar. Viele von ihnen wurden auf Webseiten für Symbian-Anwender unter den Rubriken „Spiele“ oder „wertvolle Hinweise“ veröffentlicht. Ein weiterer Teil der mobilen Trojaner wurde in Tauschbörsen positioniert. Besonders gern geben die Virenschreiber ihre Kreationen als neue Versionen von Antivirus-Programmen für Handys aus.

Die „Heimat“ der mobilen Viren

Sobald über Computerviren gesprochen wird, kommt die Frage auf, in welchen Ländern sie erstellt wurden. In den westlichen Medien wird gerne das Stereotyp der «russischen Bedrohung» gebracht – doch das ist ein Mythos, der sich bei genauerer Betrachtung nicht halten kann. In den letzten Jahren wurden immer wieder Virenautoren verhaftet, die globale Epidemien ausgelöst haben. Deren Heimatländer festzustellen, ist natürlich eine leichte Übung:

  • Deutschland (Sasser und NetSky)
  • Ungarn (Zafi)
  • Türkei und Marokko (Bozori)
  • Niederlande (Agobot und Codbot)
  • Ostasien (Slammer)
  • Deutschland (Sober)

Auf das Konto russischer Virenschreiber gehen nur die Bagle-Würmer – und auch hier haben wir es eher mit einer internationalen Gruppierung von Cyberverbrechern zu tun.

Unseren Bebachtungen zufolge, trägt aktuell China den Staffelstab in diesem Wettstreit, gefolgt von Brasilien. Ein beträchtlicher Anteil der aktuellen Viren wird auch in der Türkei erstellt. Die Länder der ehemaligen UdSSR kann man in der Virenerstellung mit der Türkei vergleichen.

Betrachtet man die mobilen Viren, erkennt man, dass wir es mit einer ähnlichen Situation zu tun haben. Für die Mehrheit der 31 Familien können wir das Herkunftsland mit ziemlicher Sicherheit feststellen.

Wie wir uns erinnern, wurde Cabir von dem Franzosen Vallez erstellt. Nachdem dieser Virus in den Computer-Untergrund gelangte, kamen schnell immer neue Modifikationen nach. Die größte Aktivität bei der Erstellung der Modifikationen bewiesen die Einwohner der Länder Südostasiens: Philippinen, Indonesien, Malaysia und China. Und auch der Brasilianer Valesco schuf einige Cabir-Modifikationen, während er den Virus Lasco schrieb.

Die ehemalige UdSSR wartete in der mobilen Virologie mit vier Exemplaren auf. Drei davon waren konzeptionelle Viren, also die ersten ihrer Art. Das erste Backdoor-Programm für WinCE, das den Namen Brador erhielt, wurde von einem Programmierer aus der Ukraine erstellt, der unter dem Nickname BrokenSword bekannt ist. Der Wurm ComWar, dem wir zu Beginn dieses Artikels viel Aufmerksamkeit schenkten, wurde in Russland erstellt. Dies bezeugen sowohl die im Virus enthaltenen Texte als auch die uns vorliegenden Informationen über den Autor e10d0r. Der Dritte ist der Trojaner RedBrowser, dessen Erschaffer unbekannt ist, doch die Texte im Trojaner wie auch die Telefonnummern, auf die der SMS-Versand erfolgt, beweisen eindeutig seine russische Herkunft.

Der Trojaner Locknut wurde erstmals vom neuseeländischen Antivirus-Unternehmen SimWorks entdeckt. Die Schlussfolgerung über seinen russischen Ursprung wurde aufgrund der unschönen Texte im Trojaner und des Dateinamens gezogen.

Wie wir bereits erwähnten, enthalten eine Reihe ComWar-Modifikationen spanische Texte. Dadurch könnte man annehmen, dass er aus Spanien stammt. Doch wir haben keinerlei weitere Daten oder Beweise vorliegen, die das bekräftigen. Aus der Türkei kommen einige Modifikationen von Skuller und Cardtrap, wie auch der einzige uns bekannte Trojaner der Familie Arifat.

Die überwiegende Mehrheit der mobilen Übeltäter wurde zweifelsohne in China erstellt, möglicherweise auch einige in Südkorea. Hier können wir keine genaue Aussage treffen, da die meisten der im vergangenen Jahr entdeckten mobilen Trojaner ausgerechnet an südkoreanische Antivirus-Unternehmen geschickt wurden. Nach unseren Ermittlungen waren die Trojaner auf gehackten koreanischen Servern positioniert. Gehackt wurden diese Server von China aus. Garantiert aus China kamen PbStealer und StealWar sowie einige Trojaner-Modifikationen.

Wir müssen auch die gestiegene Aktivität eines Virenschreibers aus Malaysia erwähnen. Seiner Feder entstammen die meisten Skuller-Modifikationen, möglicherweise sogar der Original-Skuller.

Doch was zeigen diese Fakten? Sie beweisen, dass sich mobile Viren nach denselben Gesetzen entwickeln wie Computerviren. Und für beide Bereiche werden die Viren in ein- und denselben Ländern erstellt.

Probleme der Betriebssysteme

Wichtigster Faktor für die Entwicklung von Schadprogrammen für mobile Geräte sind die Sicherheitslücken in den eingesetzten Betriebssystemen und den mobilen Geräten selbst. Fast alle großen Virusepidemien im Bereich der PCs wurden durch Windows-Sicherheitslücken hervorgerufen. Die Übeltäter verwenden zwei Methoden zum Eindringen in das System: Den „Faktor Mensch“ (Social Engineering) und Fehler in den Betriebssystemen (Sicherheitslücken). Diese beiden Angriffspunkte sind auch bei mobilen Geräten vorhanden.

Wir müssen drei wichtige Quellen für Sicherheitslücken betrachten:

  • das Betriebssystem Windows CE;
  • das Betriebssystem Symbian;
  • die Protokolle für drahtlose Übertragungen (Bluetooth, WiFi und Infrarot-Ports)

Windows CE ist ein äußerst angreifbares System. Es gibt keinerlei Einschränkungen für ausführbare Anwendungen und Vorgänge. Ein einmal gestartetes Programm erhält Zugang zu allen Funktionen des Betriebssystems – Empfang und Übermittlung von Dateien, Telefon-Funktionen, multimediale Dienste usw.

Die Erstellung von Programmen für Windows CE ist einfach. Es ist ein für die Programmierung ziemlich offenes System, das nicht nur die Verwendung von Maschinensprachen wie ASM for ARM zulässt, sondern auch die Entwicklungsumgebung .NET bietet.

Ungeachtet dessen, dass uns momentan nur vier Viren-Familien für Windows CE bekannt sind, sollte das Potential dieses Betriebssystems für Virenschreiber nicht unterschätzt werden. Die existierenden Viren decken in vollem Umfang alle wichtigen Arten von Schadprogrammen ab: Klassische Viren, E-Mail-Würmer, Backdoors und Crossplatform-Würmer. Der Verbreitungsgrad von Windows CE steigt enorm und in den kommenden Jahren könnte es Platz eins unter den Betriebssystemen für Smartphones einnehmen und Symbian verdrängen.

Vor diesem Hintergrund beobachten wir eine Zunahme des Interesses an dieser Plattform – Sowohl seitens der Virenschreiber als auch der Forscher. Wir sprachen bereits darüber, dass auf der DefCon-Konferenz im August Collin Mulliner einen Vortrag über Sicherheitslücken bei der Bearbeitung von MMS unter Windows CE 4.2x präsentierte. Bis zum heutigen Tag versuchen Microsoft und seine Partner diesen Fehler zu beseitigen. Doch selbst wenn dieses Problem gelöst worden ist, müssen erst alle Anwender informiert werden, dass sie ihre Smartphones und PocketPCs neu einrichten sollen – und dies müssen es dann auch tun…

Es sollte auch nicht vergessen werden, dass dies nur eine der kritischen Sicherheitslücken in Windows CE ist, die in den letzten Monaten entdeckt wurden. Es besteht auch die Möglichkeit, DoS-Attacken für mobile Geräte über Sicherheitslücken in ActiveSync und MMS/SMS durchzuführen.

Eine zusätzliche Gefahr stellen potentielle Sicherheitslücken im Internet Explorer für Windows CE und Programmen zur Umformatierung von Dateien dar. Dass es diese Lücken gibt, wird nicht mehr bestritten – die Frage ist allerdings, wem es zuerst gelingt, sie zu entdecken: den Virenschreibern oder den ehrlichen Forschern wie Collin Mulliner oder Tim Hurman (letzterer entdeckte die Sicherheitslücke in der Bluetooth stack remote code execution, die noch vollständig geheim gehalten wird).

Der erste Virus für Windows CE – Duts – verwendete eine der Sicherheitslücken im Datei-API, die Microsoft nicht bekannt war (0-Day).

Windows CE wird von Tag zu Tag bekannter und die Erscheinungsfrequenz von Schadprogrammen für diese Plattform kann bald mit Symbian-Malware verglichen werden. Wichtigstes Umfeld für die Arbeit der Virenautoren wird .NET, und ein erheblicher Teil der Viren wird Sicherheitslücken in Windows CE verwenden.

Das derzeit bekannteste Mobil-Betriebssystem ist Symbian. Hier ist die Situation nicht so bedrohlich wie bei Windows CE, jedoch handelt es sich hier nur um eine Scheinsicherheit. Allein die Architektur der Symbian Series 60 verfügt über eine bedeutende Anzahl Fehler, die wir als echte Sicherheitslücken betrachten können. Wir haben bereits darüber gesprochen, dass Symbian ein Überschreiben beliebiger Systemanwendungen ohne Einverständnis des Anwenders erlaubt. Bei Problemen mit Datei-Formaten, die nicht dem Standard entsprechen, wird das System instabil und kann einen Neustart des Telefons hervorrufen. Außerdem sind die Sicherheits-Ebenen für Anwendungen denen von Windows CE sehr ähnlich. Anders ausgedrückt: Sie fehlen. Gelangt eine Anwendung ins System, erhält sie die absolute Kontrolle über alle Funktionen. Glücklicherweise wurden bis jetzt noch keine Sicherheitslücken in der Bearbeitung der Bluetooth-Verbindungen und MMS für diese Plattform entdeckt. Man kann sich aber leicht vorstellen, was passieren würde, wenn Cabir oder ComWar die Möglichkeit erhielten, automatisch in das System einzudringen.

Symbian ist ein geschlosseneres System als Windows CE. Zum Erstellen von voll funktionsfähigen Anwendungen sind spezielle Developer-Kits erforderlich, die oft einige zehntausend Dollar kosten. Wie jedoch aus der Zahl der existierenden Trojaner ersichtlich ist, kommen die Virenschreiber vollkommen mit den für jeden zugänglichen Mitteln aus.

Es hat sich daraus eine paradoxe Situation ergeben: Symbian ist bekannter als Windows CE, aber ernste Sicherheitslücken sind wenige bekannt. Uns scheint, dass es dafür nur eine Erklärung gibt: Die Anstrengungen der Forscher sind bislang noch nicht in dem Maß auf Symbian ausgerichtet wie auf Microsoft-Produkte. Doch ein kurzer Blick und einfache Untersuchungen zeigen, dass zahlreiche Fehler in Symbian bestehen. Als Nachweis dafür biete ich eine Beschreibung für einen davon, der als noch unbekannt eingestuft werden kann. Die Information über die Sicherheitslücke schickte uns einer unserer Anwender. Wir haben sie überprüft und in unserem Testlabor nachgestellt.

Dieser Sicherheitslücke unterliegen Telefone, die auf Symbian Series 6.x laufen. Sie wurde auf Siemens SX-1 und Nokia 3650 getestet.

Es reicht aus, eine Datei mit dem Namen „INFO .wmlc“ zu erstellen, wobei nach dem Wort INFO bis zum Punkt 67 Leerzeichen benötigt werden. Der Inhalt der Datei kann absolut willkürlich sein (über 2 Byte). Wenn diese Datei auf ein anderes Gerät geschickt wird – über Bluetooth oder Infrarot-Port (die Datei kann in Form von MMS geschickt werden, auf Webseiten positioniert und bei deren Besuch geöffnet werden – letzteres haben wir nicht überprüft)) so erhält der Empfänger bei Öffnen der Mittelung die Fehlermeldung «App. closed AppArcServerThread USER 8». Danach arbeitet das Telefon deutlich langsamer, es kann den Start bestimmter Anwendungen blockieren und anschließend neu starten.

Wir haben es mit einer klassischen Sicherheitslücke vom Typ «Ablehnen von Diensten» zu tun. Die Erweiterung „wmlc“ hängt mit dem Standard-Browser zusammen, und bei der Bearbeitung mit einem Datei-Namen, der sich nicht an den Standard hält, tritt ein Fehler in der Komponente auf, die für den Start dieses Browsers verantwortlich ist. Wir haben keine detaillierte Analyse vorgenommen. Es besteht durchaus die Möglichkeit, dass die Sicherheitslücke neben dem Ablehnen der Dienste auch die Ausführung eines willkürlichen Codes im System zulässt.

Diese Mitteilung darf als offizielle Benachrichtigung für das Unternehmen Symbian über diese Sicherheitslücke betrachtet werden.

Das Unternehmen Symbian, die Hersteller von Smartphones, die dieses Betriebssystem einsetzen, sowie die Entwickler von Programmen dafür richten ihre Aufmerksamkeit bereits auf die Existenz von Symbian-Viren. Sie unternehmen unterschiedlichste Anstrengungen, um in der Nachfolgeversion von Symbian einen maximalen Schutz vor Schadprogrammen zu bieten. Kürzlich wurde erklärt, dass die Entwickler in die Architektur einen Anwendungs-Schutz einbauen, der in seinem Aufbau der Technologie TrustingComputer ähnelt, die auf einigen Prozessoren für PC integriert wurde. Geplant ist die Erstellung eines «geschützten Speicherbereichs», zu dem nur vertraute Anwendungen Zugang erhalten. Im Prinzip könnte eine solche Herangehensweise das Problem der primitiven Vandalen-Trojaner vom Typ Skuller lösen, befreit sie jedoch nicht vollständig von den Problemen mit Sicherheitslücken im Betriebssystem und dessen Anwendungen. Außerdem sollte das Gesetz über die Existenz von Viren nicht vergessen werden: «Ein Virus kann im System all das tun, was der Anwender tut». Das bedeutet, dass Würmer, die über Bluetooth und MMS verschickt werden, auch in der Zukunft Realität bleiben.

In diesem Artikel haben wir nicht über Sicherheitslücken in den Bluetooth- und WiFi-Protokollen berichtet. Wenn Sie sich dafür interessieren, sollten Sie die Forschungsmaterialien von Gruppen wie Trifinite oder Pentest lesen. Darüber hinaus haben wir bereits die Ergebnisse einiger unserer Nachforschungen auf diesem Gebiet veröffentlicht.

Bemerken möchte ich abschließend noch, dass die Virenschreiber – ungeachtet der erheblichen Anzahl von Sicherheitslücken für drahtlose Protokolle auf mobilen Geräten – noch nicht damit begonnen haben, diese in ihre Kreationen zu integrieren. Jedoch zweifeln wir nicht daran, dass dies in naher Zukunft passieren wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.