DOUBLETTE: Experte warnt vor unsicheren Smartphones Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.07.2009 Oliver Weiss

DOUBLETTE: Experte warnt vor unsicheren Smartphones

Laut dem Sicherheitsexperten Bernhard Müller sind Smartphones mit dem Betriebssystem "Symbian OS" derzeit das attraktivste Angriffsziel.

Die Sicherheitsberater von SEC Consult warnen vor steigender Cyberkriminalität im mobilen Bereich. Das attraktivste Angriffsziel seien derzeit mit dem Betriebssystem "Symbian OS" ausgestattete Smartphones. Symbian OS ist das meistverbreitete Betriebssystem für Smartphones und somit ein attraktives Ziel für Angreifer. Die nötige Sicherheitsanalyse der vorinstallierten Read only Memory (ROM) Software typischer Symbian-Smartphones ist aufgrund fehlender oder absichtlich eingeschränkter Tools allerdings extrem schwierig. Dieses Thema wurde daher von Sicherheitsexperten bisher weitgehend gemieden - die veröffentlichten Exploits beschränken sich auf Denial-of-Service-Attacken.

Bernhard Müller, Sicherheitsexperte bei SEC Consult, hat Methoden und Tools entwickelt, die es ermöglichen, die vorinstallierte System-Software auf handelsüblichen Smartphones, trotz eingebauter Sicherheitsmechanismen, statischen und dynamischen Sicherheitsanalysen zu unterziehen. Das Vorgehen wird in einem auf der Website des Sicherheitsdienstleisters erhältlichen Whitepaper ausführlich beschrieben.

In einem ersten Testlauf des Toolsets untersuchte der Forscher die mit Nokia Multimedia-Smartphones gelieferten Video- und Audio-Codecs. Dabei wurde eine Reihe von Fehlern identifiziert, die laut Müller die Ausführung eines eingeschleusten Schadcodes auf dem Smartphone ermöglichen. Die erforschten Fehlerdetails wurden von SEC Consult bereits an Nokia gemeldet. "Diese Fehler können schwerwiegende Folgen mit sich bringen. Eine über MMS verschickte Videodatei kann als Basis für die Ausbreitung eines MMS-Wurms verwendet werden und sich somit im ganzen Betriebssystem ausbreiten und in weiterer Folge auf andere User übertragen werden", so der Experte. Die Analysetechniken beschränken sich aber nicht nur auf die Videodateien, sondern können auch für andere Komponenten, wie z.B. die Telefonie- oder SMS-Komponenten der Symbian-Smartphones, angewandt werden.

"Mit den geeigneten Tools fanden wir sehr schnell etliche Bugs, vergleichbar mit bekannten Sicherheitslücken auf anderen Betriebssystemen", erklärt Müller. Aufgrund des hohen Risikos, das auf derartige Schwachstellen zurückzuführen ist, rät SEC Consult von der Veröffentlichung der Details vorerst ab. Die Smartphone-Hersteller sollten aber über Whitepaper-Veröffentlichungen dringend entsprechende Gegenmaßnahmen treffen und in Form von Software-Qualitätsmanagement sowie der Bereitstellung einer automatischen Update-Funktion reagieren. Den Smartphone-Benutzern rät SEC Consultdas Öffnen von SMS-, MMS- oder E-Mail-Nachrichten von unbekannten Absendern zu vermeiden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: