Java-Sicherheitslücke ermöglicht den Hack von S40-Handys

Adam Gowdiak schlägt wieder zu. Nachdem er vor vier Jahren eine Sicherheitslücke in Java-Handys fand, die Trojaner-Programme ausnutzen konnten, legt er jetzt nach. Mit seinem neuen Hack lassen sich auf mehreren hundert Millionen Handys mit Nokias Betriebssystem S40 aus der Ferne SMS senden, Anrufe tätigen oder Telefonate mitschneiden, ohne dass der Besitzer es merkt.

Mehrere hundert Millionen Besitzer eines Handys mit Nokias Betriebssystem S40 könnten demnächst Probleme bekommen. Das behauptet zumindest der polnische Programmierer Adam Gowdiak. Er könne alle Funktionen der Mobiltelefone aus der Ferne manipulieren, indem er einfach eine SMS schickt, die automatisch Java-Programmcode nachlädt. Dieser Schadcode kann dann genutzt werden, um Kurznachrichten zu senden, Anrufe zu tätigen, Telefonate mitzuschneiden oder die Kamera zu verwenden. Wie das genau funktioniert, erklärt Gowdiak in einem 178 Seiten langen Report, den er über seine Website verkauft. Der Benutzer merkt nichts von den Angriffen und kann auch wenig dagegen tun. Selbst Antivirus-Software hilft nicht dagegen.

Könnte auch betroffen sein: Nokia 5310 XpressMusic
Datenblatt | Bildergalerie | Testbericht

Normalerweise haben Java-Programme nur eingeschränkte Fähigkeiten auf dem Handy. Besonders wenn sie kostenpflichtige Aktionen ausführen wollen, wie Telefonanrufe oder den Aufbau von Datenverbindungen, wird der Nutzer sofort alarmiert. Nur wenn so eine Software ein Zertifikat vom Netzbetreiber besitzt, darf sie solche Aktionen ausführen, ohne den Nutzer zu informieren. Programme mit einem Zertifikat des Handy-Herstellers dürfen auch auf geschützte Bereiche des Speichers zugreifen. Der Hack von Gowdiak soll aber ohne Zertifikate die Erlangung von absoluten Benutzerrechten ermöglichen, mit denen man jede Funktion auf dem Handy nutzen kann. Weil als Einfallstor für den Schadcode die Java-Plattform dient, könnten auch andere Handy-Hersteller betroffen sein.

Adam Gowdiak ist kein Unbekannter. Schon 2004 hatte er eine Sicherheitslücke in der Java-Technik vieler Mobiltelefone entdeckt. Sie ermöglichte beispielsweise das Schreiben von Trojanern, die in Java-Spielen versteckt werden konnten. Hacker hätten damit das Telefonbuch des Opfers auslesen oder kostenpflichtige Premium-SMS verschicken können. Damals informierte er die verantwortliche Firma Sun Microsystems, die daraufhin die Lücke in ihrer mobilen Java-Version J2ME schloss. Danach wurde es still um Gowdiak, es kam auch nicht zu großen Rückrufaktionen oder Updates der betroffenen Handy-Hersteller. Dieses Mal gibt er seine Informationen nicht unentgeltlich preis, sondern verlangt 20.000 Euro für den Download seines Reports, um damit seine neu gegründete Security Explorations zu finanzieren.