Angriff

Kritische Sicherheitslücke in Sony-Ericsson-Handys

Auch Zugriff auf Mikrofon und Kamera des Handys sind möglich
Von Christian Horn

In einem Großteil der Handys von Sony Ericsson, die zwischen 2005 und 2007 verkauft wurden, besteht eine kritische Sicherheitslücke. Dies berichtet die Universität Bremen in einer Pressemitteilung. Adrian Nowak vom Technologie-Zentrum Informatik der Universität Bremen (TZI) habe diese Sicherheitslücke im Rahmen seiner Diplomarbeit zum Thema "Sicherheit mobiler Endgeräte" aufgedeckt.

Über die Sicherheitslücke soll es Angreifern möglich sein, vollständigen Lese- und Schreibzugriff auf das interne Dateisystem der Handys zu erlangen. Neben den Geräte-Einstellungen sind dort persönliche Nachrichten (SMS, MMS, E-Mail) und sicherheitskritische Zertifikate abgespeichert. Werde ein solches Zertifikat ersetzt, könne ein Angreifer sich als Hersteller des Mobiltelefons ausgeben und sich so Zugriff auf alle geschützten Funktionen des Gerätes verschaffen. Der Angreifer könne den Benutzer ausspionieren oder ihm beispielsweise durch das unbemerkte Versenden von Premium-SMS finanziell schädigen.

Auch der Zugriff auf Mikrofon und Kamera des Handys sei möglich. Das Auslesen des Adressbuches und Terminkalenders sowie der auf dem Handy gespeicherten persönlichen Nachrichten oder die Erstellung eines Bewegungsprofils des Nutzers sollen dabei nur einige Möglichkeiten des Missbrauchs darstellen.

Auch beim Handy Software nur aus vertrauenswürdigen Quellen beziehen

Die Sicherheitslücke könne durch die Installation von Applikationen oder Spielen, in denen sich ein Trojanisches Pferd versteckt, ausgenutzt werden. Dabei müssten nur "zwei harmlos wirkende Sicherheitsmeldungen" bestätigt werden, wie sie auch bei vertrauenswürdigen Anwendungen angezeigt werden. Für die Nutzer sei es "somit unmöglich, zwischen bösartiger und ungefährlicher Software zu unterscheiden". Die Konsequenz sei, dass wie bei PCs auch Handy-Nutzer darauf achten müssten, Software nur aus vertrauenswürdigen Quellen zu beziehen.

Sony Ericsson soll bereits über das Sicherheitsproblem informiert worden sein. Der Hersteller hat bislang noch keine Stellungnahme zu diesem offenbar gravierenden Sicherheitsproblem abgegeben.