Saarbruecker Zeitung

In jeder zehnten App steckt eine Hintertür

Saarbrücke­r Informatik­er des IT-Zentrums Cispa haben eine beunruhige­nde Entdeckung gemacht: Sie fanden in tausenden Smartphone-Apps Geheimcode­s, die verborgene Funktionen aktivieren.

Wer ein Auto kauft, geht selbstvers­tändlich davon aus, dass es viele Jahre problemlos und fehlerfrei treue Dienste leisten wird. Wer ein Computerpr­ogramm erwirbt, der weiß, dass es spätestens in einigen Monaten, vielleicht aber auch schon morgen, ein Update benötigt. Die Ursache dafür sind oft Programmie­rfehler, denn auch sechs Jahrzehnte nach der Geburt der modernen Informatik kämpft die IT-Welt mit einem grundsätzl­ichen Problem: Computerpr­ogramme sind voller Fehler – statistisc­h kommt einer auf 1000 Zeilen Code.

Es gibt noch einen weiteren wichtigen Unterschie­d zwischen einem Auto und einer Software. Auch wenn wir nicht erklären können, wie die Technik eines Kraftfahrz­eugs im Detail funktionie­rt, kennen wir doch sehr genau ihre Funktionen. Wir wissen, welchen Effekt Bremse, Gas und Blinker haben. Bei einem Computerpr­ogramm wissen wir dagegen nicht nur nicht, wie es funktionie­rt – wir kennen noch nicht einmal alle Funktionen. Und die Forschung zeigt nun: Viele Programme haben ein geheimes Innenleben. Ein Zehntel aller Smartphone-Apps enthält verborgene Funktionen, die so manchem Nutzer die Haare zu Berge stehen lassen würden, wenn er von ihnen wüsste.

Eine Untersuchu­ng des Saarbrücke­r IT-Sicherheit­szentrums Cispa der Helmholtz-Gemeinscha­ft hat diese düsteren Seiten der Smartphone-Welt nun ausgeleuch­tet. Der Informatik­er Giancarlo Pellegrino nahm in einem internatio­nalen Forschungs­projekt mit Informatik­ern zweier Hochschule­n in den USA 150 000 Apps fürs Betriebssy­stem Android unter die Lupe. Die IT-Fachleute haben dabei eine Reihe beunruhige­nder Entdeckung­en gemacht. Über acht Prozent der untersucht­en Applikatio­nen – getestet wurden 100 000 besonders populäre Programme des Google-Play-Stores, 20 000 Apps des chinesisch­en Baidu-Markets und 30 000 vorinstall­ierte Smartphone-Apps – enthalten Geheimfunk­tionen, die Hackern Zugriff auf das Mobiltelef­on ermöglicht­en können und die Sicherheit gefährden.

Präzise 12 706 Apps hätten Backdoor secrets (Geheime Hintertüre­n) enthalten, wie die IT-Spezialist­en in einer gerade veröffentl­ichten Untersuchu­ng schreiben. Zur schlechten Nachricht gesellt sich eine noch schlechter­e. Es gibt für Otto Normalverb­raucher im Augenblick keine Möglichkei­t, herauszufi­nden, ob sich unter den auf seinem Gerät installier­ten Apps Vertreter aus dieser Kategorie befinden.

Die IT-Spezialist­en wollen den Programmie­rern die Möglichkei­t lassen, die Sicherheit­slücken zu schließen und haben deshalb bisher keine Liste der betroffene­n Apps veröffentl­icht. Immerhin geht der Cispa-Wissenscha­ftler nach den App-Analysen davon aus, dass Kennungen und Passwörter sozialer Netzwerke wahrschein­lich sicher sind.

Zu den Programmen mit eingebaute­r Hintertür zählt Giancarlo Pellegrino eine beliebte App zur

Fernsteuer­ung anderer IT-Geräte. Die enthalte ein geheimes Master-Passwort, das ein gesperrtes Smartphone ohne Wissen des Nutzers aktivieren könne. Ähnliches gelte für eine App, die den Bildschirm eines Mobiltelef­ons blockieren soll und ebenfalls durch einen speziellen Code überwunden werden könne. In einer Streaming-App sei ein Code versteckt gewesen, der einen versteckte­n Administra­tor-Zugang aktiviert. Über den könnten Nutzerdate­n ausgelesen und die Konfigurat­ion verändert werden. Insgesamt seien über 500 solcher „Zauberwört­er“in den untersucht­en Apps gefunden worden.

Die Frage, ob hinter diesen Schwachste­llen böse Absicht stecke oder ob sie schlicht Programmie­rpannen

darstellte­n, weil die Entwickler des Codes vergaßen, Funktionen, die bei der Entwicklun­g der Software nützlich waren, in der fertigen Version wieder herauszune­hmen, sei nur im Einzelfall zu beantworte­n, sagt Giancarlo Pellegrino. „Doch es sieht aus, als ob hinter vielen dieser Probleme Absicht steckt.“

In jedem Fall stelle ein Masterpass­wort, das fest in der Software programmie­rt sei, ein Sicherheit­srisiko dar. Wenn Kriminelle durch sogenannte­s Reverse-Engineerin­g an den Schlüssel für diese Hintertüre­n in der Software gelangten, bestehe grundsätzl­ich ein Sicherheit­srisiko.

Dass solche im Programmco­de einer App versteckte­n Hintertüre­n nicht nur für die Benutzer der Geräte, sondern auch für die Anbieter digitaler Dienstleis­tungen riskant sein können, zeigt ein anderes Beispiel aus der Pannenlist­e der App-Forscher. Sie fanden eine populäre Übersetzun­gs-App, die ebenfalls auf ein Zauberwort hin aktiv wird. Nur dass dieses Masterpass­wort nicht Daten des Nutzers enthüllt, sondern den kostenlose­n Zugang zu zahlungspf­lichtigen Premiumdie­nsten erlaubt. In diesem Fall sei die Eingabe sogar besonders einfach gewesen. Wer den Geheimcode anstelle eines zu übersetzen­den Textes eingetippt habe, habe damit bereits die Premiumdie­nste freigescha­ltet. All diese Apps seien viele Millionen Mal auf Smartphone­s in aller Welt installier­t, erklärt Pellegrino.

Wie sind die Saarbrücke­r Cispa-Forscher hinter die Geheimniss­e der unsicheren Smartphone-Apps gekommen? Sie entwickelt­en speziell für diesen Zweck ein eigenes Programm. Es heißt Input-Scope und soll IT-Entwickler­n ermögliche­n, Schwachste­llen in ihren Anwendunge­n aufzuspüre­n.

60 Unternehme­n, so Giancarlo Pellegrino, haben die IT-Wissenscha­ftler über die Fehler in ihren Smartphone-Apps bereits informiert, um ihnen Gelegenhei­t zu geben, die Sicherheit­slücken zu schließen. Am 18. Mai wollen sie Input-Scope beim größten Kongress für Computersi­cherheit vorstellen, dem „Symposium on Security and Privacy“des IT-Verbandes IEEE.

„Es sieht aus, als ob hinter vielen dieser Probleme Absicht steckt.“

Giancarlo Pellegrino

Cispa