In jeder zehnten App steckt eine Hintertür
Saarbrücker Informatiker des IT-Zentrums Cispa haben eine beunruhigende Entdeckung gemacht: Sie fanden in tausenden Smartphone-Apps Geheimcodes, die verborgene Funktionen aktivieren.
Wer ein Auto kauft, geht selbstverständlich davon aus, dass es viele Jahre problemlos und fehlerfrei treue Dienste leisten wird. Wer ein Computerprogramm erwirbt, der weiß, dass es spätestens in einigen Monaten, vielleicht aber auch schon morgen, ein Update benötigt. Die Ursache dafür sind oft Programmierfehler, denn auch sechs Jahrzehnte nach der Geburt der modernen Informatik kämpft die IT-Welt mit einem grundsätzlichen Problem: Computerprogramme sind voller Fehler – statistisch kommt einer auf 1000 Zeilen Code.
Es gibt noch einen weiteren wichtigen Unterschied zwischen einem Auto und einer Software. Auch wenn wir nicht erklären können, wie die Technik eines Kraftfahrzeugs im Detail funktioniert, kennen wir doch sehr genau ihre Funktionen. Wir wissen, welchen Effekt Bremse, Gas und Blinker haben. Bei einem Computerprogramm wissen wir dagegen nicht nur nicht, wie es funktioniert – wir kennen noch nicht einmal alle Funktionen. Und die Forschung zeigt nun: Viele Programme haben ein geheimes Innenleben. Ein Zehntel aller Smartphone-Apps enthält verborgene Funktionen, die so manchem Nutzer die Haare zu Berge stehen lassen würden, wenn er von ihnen wüsste.
Eine Untersuchung des Saarbrücker IT-Sicherheitszentrums Cispa der Helmholtz-Gemeinschaft hat diese düsteren Seiten der Smartphone-Welt nun ausgeleuchtet. Der Informatiker Giancarlo Pellegrino nahm in einem internationalen Forschungsprojekt mit Informatikern zweier Hochschulen in den USA 150 000 Apps fürs Betriebssystem Android unter die Lupe. Die IT-Fachleute haben dabei eine Reihe beunruhigender Entdeckungen gemacht. Über acht Prozent der untersuchten Applikationen – getestet wurden 100 000 besonders populäre Programme des Google-Play-Stores, 20 000 Apps des chinesischen Baidu-Markets und 30 000 vorinstallierte Smartphone-Apps – enthalten Geheimfunktionen, die Hackern Zugriff auf das Mobiltelefon ermöglichten können und die Sicherheit gefährden.
Präzise 12 706 Apps hätten Backdoor secrets (Geheime Hintertüren) enthalten, wie die IT-Spezialisten in einer gerade veröffentlichten Untersuchung schreiben. Zur schlechten Nachricht gesellt sich eine noch schlechtere. Es gibt für Otto Normalverbraucher im Augenblick keine Möglichkeit, herauszufinden, ob sich unter den auf seinem Gerät installierten Apps Vertreter aus dieser Kategorie befinden.
Die IT-Spezialisten wollen den Programmierern die Möglichkeit lassen, die Sicherheitslücken zu schließen und haben deshalb bisher keine Liste der betroffenen Apps veröffentlicht. Immerhin geht der Cispa-Wissenschaftler nach den App-Analysen davon aus, dass Kennungen und Passwörter sozialer Netzwerke wahrscheinlich sicher sind.
Zu den Programmen mit eingebauter Hintertür zählt Giancarlo Pellegrino eine beliebte App zur
Fernsteuerung anderer IT-Geräte. Die enthalte ein geheimes Master-Passwort, das ein gesperrtes Smartphone ohne Wissen des Nutzers aktivieren könne. Ähnliches gelte für eine App, die den Bildschirm eines Mobiltelefons blockieren soll und ebenfalls durch einen speziellen Code überwunden werden könne. In einer Streaming-App sei ein Code versteckt gewesen, der einen versteckten Administrator-Zugang aktiviert. Über den könnten Nutzerdaten ausgelesen und die Konfiguration verändert werden. Insgesamt seien über 500 solcher „Zauberwörter“in den untersuchten Apps gefunden worden.
Die Frage, ob hinter diesen Schwachstellen böse Absicht stecke oder ob sie schlicht Programmierpannen
darstellten, weil die Entwickler des Codes vergaßen, Funktionen, die bei der Entwicklung der Software nützlich waren, in der fertigen Version wieder herauszunehmen, sei nur im Einzelfall zu beantworten, sagt Giancarlo Pellegrino. „Doch es sieht aus, als ob hinter vielen dieser Probleme Absicht steckt.“
In jedem Fall stelle ein Masterpasswort, das fest in der Software programmiert sei, ein Sicherheitsrisiko dar. Wenn Kriminelle durch sogenanntes Reverse-Engineering an den Schlüssel für diese Hintertüren in der Software gelangten, bestehe grundsätzlich ein Sicherheitsrisiko.
Dass solche im Programmcode einer App versteckten Hintertüren nicht nur für die Benutzer der Geräte, sondern auch für die Anbieter digitaler Dienstleistungen riskant sein können, zeigt ein anderes Beispiel aus der Pannenliste der App-Forscher. Sie fanden eine populäre Übersetzungs-App, die ebenfalls auf ein Zauberwort hin aktiv wird. Nur dass dieses Masterpasswort nicht Daten des Nutzers enthüllt, sondern den kostenlosen Zugang zu zahlungspflichtigen Premiumdiensten erlaubt. In diesem Fall sei die Eingabe sogar besonders einfach gewesen. Wer den Geheimcode anstelle eines zu übersetzenden Textes eingetippt habe, habe damit bereits die Premiumdienste freigeschaltet. All diese Apps seien viele Millionen Mal auf Smartphones in aller Welt installiert, erklärt Pellegrino.
Wie sind die Saarbrücker Cispa-Forscher hinter die Geheimnisse der unsicheren Smartphone-Apps gekommen? Sie entwickelten speziell für diesen Zweck ein eigenes Programm. Es heißt Input-Scope und soll IT-Entwicklern ermöglichen, Schwachstellen in ihren Anwendungen aufzuspüren.
60 Unternehmen, so Giancarlo Pellegrino, haben die IT-Wissenschaftler über die Fehler in ihren Smartphone-Apps bereits informiert, um ihnen Gelegenheit zu geben, die Sicherheitslücken zu schließen. Am 18. Mai wollen sie Input-Scope beim größten Kongress für Computersicherheit vorstellen, dem „Symposium on Security and Privacy“des IT-Verbandes IEEE.
„Es sieht aus, als ob hinter vielen dieser Probleme Absicht steckt.“
Giancarlo Pellegrino
Cispa