Zombie-Gefahr für Nokia-Smartphones Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.07.2009 Katharina Friedmann*

Zombie-Gefahr für Nokia-Smartphones

Wiener Sicherheitsforschern zufolge klaffen in den mitgelieferten Handy-Applikationen Sicherheitslecks, die Angreifern Tür und Tor öffnen.

Sicherheitsexperten des Wiener Security-Beratungshauses SEC Consult haben in den auf Nokia Multimedia-Smarthones vorinstallierten Video- und Audio-Codecs eine Reihe schwerwiegender Fehler aufgespürt, die das Einschleusen und Ausführen von Schadcode ermöglichen sollen. "Eine über MMS verschickte Videodatei kann als Basis für die Ausbreitung eine MMS-Wurms verwendet werden und sich somit im ganzen Betriebsystem ausbreiten - und auf andere User übertragen werden", beschreibt Bernhard Müller, SEC-Consult-Experte und Entdecker der Schwachstellen, die Bedrohung exemplarisch.

Dabei soll es sich nicht etwa "nur" um DoS-Risiken (Denial of Service) durch Malware-Attacken handeln, die im schlimmsten Fall bewirken, dass sich das Handy ausschaltet. Nach Angaben von SEC Consult lässt sich über die aufgestöberten Applikationsschwachstellen mit Hilfe entsprechender Exploits das gesamte Smartphone kompromittieren und - ähnlich wie bei der Remote Command Execution etwa im Windows-Umfeld - ohne Einwirken des Nutzers fernsteuern. "Möglich ist eine vollständige Fernsteuerung wie bei Desktops und Laptops, die für ein Botnetz gekapert wurden", skizziert Markus Robin, General Manager bei SEC Consult, das Machbare. Weiter gedacht, ließen sich theoretisch sogar Gespräche abhören. "Die mögliche Kompromittierung geht so tief, dass das Missbrauchspotenzial - je nach Exploit - das gesamte Spektrum dessen abdeckt, was das Handy kann", so der Consultant.

Zwar handelt es sich Robin zufolge dabei nicht um eine unmittelbar akute Bedrohung, wohl aber um Schwachstellen, die künftig enormes Gefahrenpotenzial bergen. Allein die Tatsache, dass weltweit gut 40 Prozent der Handys auf der Symbian-Plattform basierten, mache sie zur attraktiven Zielscheibe für Cyberkriminelle. "Wenn hier die Softwarequalität Sicherheitsmängel aufweist, kann sich die nächste große Angriffswelle anbahnen", warnt der Experte. Nach Angaben von SEC Consult wurde Nokia bereits vertraulich, sprich: im Rahmen der "Responsible Disclosure" über die Fehler informiert.

Entdeckt hat SEC-Consult-Experte Müller die Sicherheitslücken im Zuge eines Forschungsprojekts des österreichischen Beratungshauses mit dem Ziel, Methoden und Tools zu entwickeln, die die bislang schwierige und daher vernachlässigte Sicherheitsanalyse der auf handelsüblichen Symbian-Handys vorinstallierten ROM-Software (Read only Memory) ermöglichen. "Typische Symbian-Smartphones weisen eine große Angriffsfläche auf", so Müller. In einem ersten Testlauf eines neuen Tool-Sets nahm der Forscher die Video- und Audio-Codecs von Nokia Multimedia-Smartphones unter die Lupe: "Mit den geeigneten Tools fanden wir sehr schnell entsprechende Bugs, vergleichbar mit bekannten Sicherheitslücken auf anderen Betriebssystemen."

Die Security-Experten raten Smartphone-Herstellern angesichts des hohen Risikopotenzials derartiger Sicherheitslücken davon ab, Fehlerdetails zu veröffentlichen. Sie sollten jedoch umgehend Schutzmaßnahmen in Form eines Software-Qualitäts-Managements sowie der Bereitstellung einer automatischen Update-Funktion treffen, so der Appell der Wiener. Handy-Nutzern wiederum empfiehlt SEC Consult, SMS- oder MMS-Nachrichten sowie E-Mails von unbekannten Absendern grundsätzlich nicht zu öffnen.

* Katharina Friedmann ist Redakteurin der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr

Hosted by:    Security Monitoring by: