Die meisten Handys, die Sony Ericsson von 2005 bis 2007 verkauft hat, sind von einer kritischen Sicherheitslücke betroffen. Angreifer können dadurch einen Trojaner installieren, der den Handy-Besitzer ausspioniert und Premium-SMS versendet.
In den meisten Mobiltelefonen, die Sony Ericsson in den vergangenen zwei Jahren verkauft hat, klafft eine kritische Sicherheitslücke. Das zeigt eine Untersuchung des Technologie-Zentrum Informatik der Universität Bremen. Mögliche Angreifer können einen Trojaner installieren und erlangen dadurch den vollständigen Lese- und Schreibzugriff auf das interne Dateisystem der Handys. Dort befinden sich neben den Einstellungen für das Mobiltelefon und sicherheitskritischen Zertifikaten auch die persönlichen Nachrichten: SMS, MMS und E-Mails.
Wahrscheinlich auch betroffen: Sony Ericsson K800i
Wenn der Angreifer das Zertifikat ersetzt, kann er sich als Hersteller des Mobiltelefons ausgeben. Dadurch bekommt er Zugriff auf alle geschützten Funktionen, kann den Benutzer ausspionieren oder teure Premium-SMS auf seine Kosten versenden. Sein Opfer kann er auf Schritt und Tritt überwachen und ein komplettes Bewegungsprofil aufstellen, indem er den Telefonbesitzer mit der eingebauten Handy-Kamera beobachtet, über das Mikrofon belauscht sowie private Informationen aus dem Adressbuch, dem Terminkalender, SMS und E-Mails mitliest.
Das Schadprogramm kann getarnt als neue Handy-Anwendung oder Spiel auf das Mobiltelefon kommen, in denen bösartige Anweisungen versteckt sind. Wenn das sogenannte Trojanische Pferd installiert ist, müssen nur noch zwei harmlos wirkende Sicherheitsmeldungen bestätigt werden, die auch bei vertrauenswürdigen Anwendungen angezeigt werden. Der Benutzer kann also nicht zwischen bösartiger und ungefährlicher Software unterscheiden. Genauso wie bei PCs müssen auch die Benutzer von Mobiltelefonen immer darauf achten, ihre Software nur aus vertrauenswürdigen Quellen zu beziehen. Betroffen von der Sicherheitslücke ist ein Großteil der Mobiltelefone von Sony Ericsson, die in den Jahren 2005 bis 2007 verkauft wurden. Die Universität hat den Gerätehersteller über das Sicherheitsproblem informiert.
Die originale Pressemitteilung und die Telefonnummer des Autors der
Untersuchung, Adrian Nowak, findet man beispielsweise
hier:
[url]http://idw-online.de/pages/de/news234942[/url]
Er schrieb heute morgen
eine E-Mail an Areamobile und hat weitere Einzelheiten mitgeteilt. Demnach ist
das Sony Ericsson K800i ist nicht nur "wahrscheinlich auch
betroffen".
"Dieses Gerät trug sogar als eines der drei untersuchten Geräte
(neben SE K750i und SE W880i) zur Findung dieser Sicherheitslücke bei. Ferner
kann ich ihnen noch sagen, dass nicht nur das ältere K800i betroffenist, sondern
auch das SE K810i und das SE T650i, welche erst im 2. bzw. 3. Quartal 2007
veröffentlicht wurden, diese Sicherheitslücke aufweisen."
Markus
Göbel
Redaktion AreaMobile
Rezept, um Trojaner selbst zu entwickeln:
schreibe MIDP Java-Programm,
das
a) Zugriff auf die Kontaktliste und den Nachrichteneingang erfordert
b)
Nachrichten versenden kann
c) nenne Programm "call of duty 4 for mobile"
d)
biete es auf handygameskostenlos.de.vu an und verlinke es in 1000 Foren
Wenn
ein Programm Zuriff auf Daten des Nutzers benötigt, wird diese Berechtigung im
Manifest des JARs festgehalten. Bei der Installation wird explizit nachgefragt,
ob man dem Programm diese Rechte gewähren will.
Fertig.
Das ist kein
Trojaner, sondern eine für jeden klar denkenden Nutzer offensichtliche
Schadsoftware. Wer so etwas allen Ernstes ohne Bedenken auf seinem Handy (oder
sonstwas für einer Applikationsplattform) installiert, dem ist nicht zu
helfen.
-> das einzige was ich (sofern oben beschriebene SW in ähnlicher
Weise funktioniert) dazu noch zu sagen habe: ein echter "Trojaner" und damit
eine echte Gefährdung dürfte das nicht sein, wenn man zweimal bestätigen muss,
dass er auf Daten im Telefon zugreifen darf. Sony Ericsson trifft daher imho
keine Schuld. Schlimmer wiegt die Tatsache, dass es trotz aller Empfehlungen des
MIDP-KOnzepts nach wie vor kein App-Manager zur Standardausstattung gehört, der
Rechte von einzelnen Applikationen minutiös verwalten kann.
Denke mal auch, dass man sich sowas nur in dubiosen Kreisen holen kann. Wenn man
sich seine Spiele aber von sicheren Quellen bezieht, sollte nichts
passieren.
Und wer weiß, bei welchen Handys die Uni noch getestet hat. Das
wird bestimmt nicht die letzte Meldung dazu sein, da besteht auf jedenfall
Klärungsbedarf!
Falls es wirklich so ist, kann man den "Virus" nur bekommen, wenn man die
Anwendungen oder spiele erlaubt daten ins Internet zu senden, wonach man ja
häufig gefragt wird?
hmm bei pressebox.de steht auch, dass es das Technologie-Zentrum Informatik der
Universität Bremen herausgefunden hat. leider kann man dort nich alles lesen
wisst ihr wo man eine Liste der betroffenen Geräte finden kann??