VON FRIEDERIKE MEYER  |  13.08.2013 10:55

Tatort Smartphone: Wenn die Unterschrift den Täter deckt

Eine Vielzahl von Mobiltelefonen mit dem Betriebssystem Android weisen seit Wochen gleich zwei Sicherheitslücken auf. Beide sind potenzielle Einfallstore für bösartigen Programmcode. Saarbrücker Informatiker haben nun eine frei verfügbare App entwickelt, die Smartphones auf diese Sicherheitslücken überprüft und weitere darauf installierte Mini-Programme durchleuchtet.

Im Jahr 2008 entwickelte der Software-Konzern Google das Mobiltelefon-Betriebssystem „Android“ zusammen mit 33 weiteren Mitgliedern der „Open Handset Alliance“ und gab es für Handy-Hersteller frei. Bis heute dauert der Siegeszug von Android an. Laut Google-Gründer Larry Page sind seit März dieses Jahres weltweit 750 Millionen Android-Geräte in Betrieb. Der größte Teil davon ist vermutlich immer noch durch die beiden Sicherheitslücken verwundbar, die in den vergangenen Tagen bekannt wurden. Google führt sie unter den Kennziffern „8219321“ und „9695860“ auf.

Beide ermöglichen das Umgehen des sogenannten Signaturverfahrens, das während der Installation von neuen Apps abläuft. Ähnlich wie eine persönliche Unterschrift soll es für die Anwender sicherstellen, dass die Installationsdateien der neuen App nur von dem Entwickler ihres Vertrauens erstellt und im Nachhinein nicht verändert worden sind. Würden die Angreifer es dennoch versuchen, hielte die vorab erstellte Signatur nicht mehr der Überprüfung stand. Genau das verhindern die beiden Sicherheitslücken. Die Installationspakete für die jeweilige App lassen sich so jederzeit manipulieren, ihre Signatur bleibt unverändert, der Anwender wähnt sich fälschlicherweise in Sicherheit. Auf diese Weise können die Angreifer nach Belieben bösartigen Code einschleusen und damit sowohl Daten als auch Geld des jeweiligen Besitzers rauben. Beide Lücken hat Google mittlerweile in der neusten Android-Version (4.3) behoben.

„Das hilft nicht viel, da viele Hersteller die von Google vorgenommene Ausbesserung noch gar nicht in die von ihnen modifizierte Android-Betriebssysteme eingebaut haben “, sagt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Viele Geräte seien somit immer noch ungeschützt, so Backes.

Zusammen mit Informatikern des von ihm gegründeten Unternehmens „Backes SRT“ hat er daher eine App namens „SRT Appscanner“ entwickelt und auf der Plattform „Google Play“ zum kostenlosen Herunterladen veröffentlicht. Appscanner zeigt dem Anwender nicht nur an, ob der Hersteller seines Smartphones die Lücken bereits schon geschlossen hat. Es überprüft auch bei jeder bereits installierten und zukünftigen App, ob sie Schadcode enthält, der diese Lücken ausnutzt.

Anwender, die Appscanner bereits heruntergeladen haben, bewerten das Mini-Programm aus Saarbrücken im Durchschnitt mit 4,5 von fünf möglichen Sternen. „Damit beheben wir zwar nicht die Sicherheitslücken, aber machen immerhin Privatpersonen darauf aufmerksam. Sie können die betroffene App dann löschen und eine nicht manipulierte Version neu installieren“, sagt Backes. Er stellt klar, dass man Anwender nicht verängstigen wolle. Man wolle sie aber dabei unterstützen, dass sie bei den Geräteherstellern das schnelle Schließen der Sicherheitslücken einfordern.