| Zombie-Gefahr für Nokia-Smartphones | |
| Mangelhaftes Software-Controlling bei mobilen Anwendungen |
Sicherheitsexperten des Wiener Security-Beratungshauses SEC Consult haben in den auf Nokia Multimedia-Smarthones vorinstallierten Video- und Audio-Codecs eine Reihe schwerwiegender Fehler aufgespürt, die das Einschleusen und Ausführen von Schadcode ermöglichen sollen. "Eine über MMS verschickte Videodatei kann als Basis für die Ausbreitung eine MMS-Wurms verwendet werden und sich somit im ganzen Betriebsystem ausbreiten - und auf andere User übertragen werden", beschreibt Bernhard Müller, SEC-Consult-Experte und Entdecker der Schwachstellen, die Bedrohung exemplarisch.
Dabei soll es sich nicht etwa "nur" um DoS-Risiken (Denial of Service) durch Malware-Attacken handeln, die im schlimmsten Fall bewirken, dass sich das Handy ausschaltet. Nach Angaben von SEC Consult lässt sich über die aufgestöberten Applikationsschwachstellen mit Hilfe entsprechender Exploits das gesamte Smartphone kompromittieren und - ähnlich wie bei der Remote Command Execution etwa im Windows-Umfeld - ohne Einwirken des Nutzers fernsteuern. "Möglich ist eine vollständige Fernsteuerung wie bei Desktops und Laptops, die für ein Botnetz gekapert wurden", skizziert Markus Robin, General Manager bei SEC Consult, das Machbare. Weiter gedacht, ließen sich theoretisch sogar Gespräche abhören. "Die mögliche Kompromittierung geht so tief, dass das Missbrauchspotenzial - je nach Exploit - das gesamte Spektrum dessen abdeckt, was das Handy kann", so der Consultant.
Zwar handelt es sich Robin zufolge dabei nicht um eine unmittelbar akute Bedrohung, wohl aber um Schwachstellen, die künftig enormes Gefahrenpotenzial bergen. Allein die Tatsache, dass weltweit gut 40 Prozent der Handys auf der Symbian-Plattform basierten, mache sie zur attraktiven Zielscheibe für Cyberkriminelle. "Wenn hier die Softwarequalität Sicherheitsmängel aufweist, kann sich die nächste große Angriffswelle anbahnen", warnt der Experte. Nach Angaben von SEC Consult wurde Nokia bereits vertraulich, sprich: im Rahmen der "Responsible Disclosure" über die Fehler informiert.
