Schadcode auf Smartphones – wie sicher sind Android-Geräte vor Angriffen?

Ein Fachartikel von IT-Security Consultant Roman Stühler

Im vergangenen Jahr sorgte eine Meldung über bereits vorinstallierte Malware auf verschiedenen Smartphones für Furore. Schadsoftware innerhalb des Betriebssystems ist äußerst hartnäckig und lässt sich auch nicht mehr ohne Weiteres entfernen. Fragen, die diesbezüglich immer wieder auftauchen, sind: Kann man mit einem infizierten Smartphone wirklich deren Benutzer ausspionieren und wie weit reichen diese Möglichkeiten? Neben den Auswirkungen spielt auch die Verteilung der Malware eine entscheidende Rolle. Somit bleiben weitere Fragen, so etwa: Muss ich eine derartige Schadsoftware aktiv installieren? Oder kann diese auch über andere Wege auf mein Smartphone gelangen?

Um das Ausspähpotenzial einer Applikation zu ermitteln, ist zunächst ein Blick auf das Berechtigungskonzept notwendig. Jede Android-Applikation besitzt ihren eigenen Kontext. Technisch wird dies durch einen jeweils eigenen Benutzer innerhalb des Betriebssystems realisiert. Ein Zugriff auf andere Applikationen ist somit auf einem Smartphone, welches nicht „gerootet“ ist, nicht möglich. Entwickler können einzelne Funktionen und APIs zugänglich machen, falls diese systemweit oder innerhalb der eigens entwickelten Applikationen verwendet werden sollen. Berechtigungen bezüglich eines Zugriffs auf die Android-APIs, wie die Kontaktdatenbank oder das Auslesen von Positionsdaten, müssen explizit angefordert werden. Hierfür werden die entsprechenden „Permissions“ innerhalb der sogenannten AndroidManifest.xml deklariert. Erst dann ist eine Verwendung in der Applikation möglich. Diese Berechtigungen werden bei der Installation einer App angezeigt und können auch noch nachträglich in den Applikationseinstellungen eingesehen werden. Eine Umgehung dieser Berechtigungen ist auf einem nicht „gerooteten“ Smartphone derzeit nicht möglich.

Ausgehend von einem solchen Smartphone kann eine Schadsoftware noch immer eine große Anzahl weitreichender Funktionen nutzen. Alle zu benennen, ist an dieser Stelle nicht möglich, da die entsprechenden Funktionen viel zu umfangreich sind. Die nachfolgenden Beispiele beschreiben einen gewissen Standard, der bei gängiger Schadsoftware wie „DroidJack“ oder „Androrat“ vorhanden ist und der es beispielsweise ermöglicht, die Kontakt- sowie SMS-Datenbank einzusehen, auf das Dateisystem wie die eigene Musik, Downloads oder Bilder zuzugreifen sowie den Internetverlauf des Benutzers auszulesen. Auch das Bestimmen von Positionsdaten ist selbst ohne aktiviertes GPS möglich. Hierbei werden umliegende WLANNetzwerke ermittelt und eine entsprechende Position trianguliert. Selbst wenn kein WLAN aktiv sein sollte, können immer noch die umliegenden Basisstationen für eine relativ genaue Positionsbestimmung genutzt werden. Neben der Möglichkeit, Vertrauliches auszulesen, können Angreifer den Betroffenen auch direkte Kosten verursachen, zum Beispiel durch sogenannte Premium-SMS-Dienste, bei denen der Angreifer eine Kurznachricht von dem entsprechenden Telefon an die angegebene Nummer verschickt. Neben diesen schon sehr bedenklichen Szenarien gibt es bedauerlicherweise aber auch Funktionalitäten, die sensible Bereiche der Privatsphäre betreffen. So kann Schadsoftware Fotos und Videos heimlich aufnehmen, ohne dass der Benutzer dies bemerkt. Im Gegensatz zu Webcams für den Computer besitzen Smartphones generell keine separate Status-LED, die eine Aufnahme signalisiert. Auch die Darstellung einer Kameravorschau wird von der API zwar vorgeschrieben, kann aber durch entsprechende Maßnahmen umgangen werden. Dies ist übrigens auch dann möglich, wenn das Smartphone sich im Standby- Modus befindet und der Bildschirm gesperrt ist.

Weiterhin können die internen Mikrofone dazu verwendet werden, Umgebungsgespräche aufzunehmen, sodass Smartphones auf diese Weise in „Wanzen“ umfunktioniert werden. Auch hier zeigen Smartphones weder auf dem Bildschirm noch bei den Symbolen oder anhand von LEDs Veränderungen an. Wie bei der Kamera können derartige Aufnahmen auch dann gemacht werden, wenn sich das Gerät im Standby-Modus befindet oder der Bildschirm gesperrt ist. Derartige Daten können anschließend verschlüsselt über HTTPS übertragen werden, was eine Analyse der Spionagetätigkeit erschwert.

Neben den bisher dargestellten, bereits erschreckenden Eingriffen in die Privatsphäre sind auch Szenarien denkbar, in denen Unternehmen gezielt ausspioniert werden. Über die aktuellen Positionsdaten kann ermittelt werden, ob sich die entsprechende Person gerade in einem Besprechungsraum innerhalb der Firma befindet. Falls dies der Fall sein sollte, könnte das stattfindende Meeting über die internen Mikrofone aufgezeichnet und im Anschluss über eine verschlüsselte Verbindung übertragen werden. Selbst wenn in dem Unternehmen mögliche Mobile-Device-Management-Lösungen bereits umgesetzt werden, die einen derartigen Zugriff vielleicht unterbinden, bleiben die Privatgeräte in den Taschen der Mitarbeiter ein Risikofaktor.

Doch wie gelangen derartige Applikationen auf mein Gerät? Die Möglichkeiten hierfür sind zahlreich. So schaffte es beispielsweise die Schadsoftware innerhalb der Applikation „Brain Test“ trotz der entsprechenden Sicherheitsmechanismen von Google bereits mehrmals erfolgreich in den Play Store. Doch auch das Ausnutzen von Sicherheitslücken, wie es bei „StageFright“ oder dem „Samsung Swift Keyboard“ möglich war, kann einen derartigen Zugriff gewähren.

Oftmals werden auch Modifikationen innerhalb bekannter Applikationen getätigt und anschließend über einen sogenannten Third-Party App Store verteilt. Die Option, welche eine Installation aus unbekannten Quellen gestattet, muss hierfür allerdings explizit aktiviert werden.

Wie bereits zu Beginn des Artikels erwähnt, besteht für einen Angreifer auch die Möglichkeit, Schadsoftware direkt innerhalb der Firmware zu platzieren, wofür dieser allerdings physikalischen Zugriff auf das Gerät benötigt. Diese entsprechende Schadsoftware verfügt über weitreichende Rechte, da dieser Systemberechtigungen eingeräumt werden können. So haben Angreifer die Möglichkeit, auf E-Mails zuzugreifen und können somit verhindern, dass der Smartphone-Besitzer Programme deinstallieren kann. Ferner ist die Schadsoftware so robust, dass sie auch nach einer Rücksetzung auf die Werkseinstellungen immer noch vorhanden ist. An dieser Stelle hilft nur das Aufspielen einer neuen Firmware. Neben den vermeintlichen Zwischenhändlern sollte dieser Aspekt auch beim Kauf von gebrauchten Smartphones berücksichtigt werden.

Auf die Frage, welche Möglichkeiten es gibt, derartige Schadsoftware zu erkennen, gibt es leider keine einfache Antwort. Generell sollte die Installation von Applikationen, die sensible Berechtigungen anfordern, ernsthaft überdacht werden. Bedauerlicherweise betrifft diese Tatsache schon einen Großteil scheinbar harmloser Applikationen. Ein Indikator für Malware könnte neben ungewöhnlichen Berechtigungen auch ein stark erhöhter Akkuverbrauch sein. Je nach Implementierung können Suchen innerhalb größerer Datenmengen oder das mehrmalige Senden diverser Informationen den Akkuverbrauch steigern. Ebenso kann ein schneller Verbrauch des entsprechenden vertraglichen Datenvolumens auf die Tätigkeit eines Angreifers hinweisen.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer