Spyware für den Blackberry

Es ist ziemlich einfach eine bösartige Anwendung für mobile Geräte zu schreiben. Dazu reichen oft schon die Bordmittel, die die Hersteller den Entwicklern von Anwendungen mitgeben.

Der Veracode-Research-Mitarbeiter Tyler Shields hat eine Spyware geschrieben, die er auf einem BlackBerry per SMS steuern kann. Ein Angreifer kann mit dem Schadcode zum Beispiel die Kontaktinformationen an eine E-Mail-Adresse weiterleiten. Über diese Spyware kann auch das in den BlackBerry eingebaute Mikrofon aktiviert werden, so dass der Angreifer auch das gesprochene Wort des Besitzers mithören kann.

“Es ist völlig trivial, einen derartigen Code mit dem API (Application Programming Interface) des Mobilproviders zu schreiben, die an jeden Entwickler weitergegeben werden”, erklärte Shields. Er will sein Programm ‘TXSBBSpy’ – allerdings in einer nicht ausführbaren Version – in den nächsten Wochen veröffentlichen. “Ich will zeigen, wie einfach es ist, mobile Spyware zu schreiben”, erklärt Shields.

Im Grunde könne TXSBBSpy sämtliche Daten des Smartphones, entweder in Echtzeit oder als Schnappschuss über SMS, Mail, TCP oder UDP weiterleiten. Damit das aber funktioniert, muss der Nutzer zunächst auf eine Seite gelockt werden, wo dann die Spyware auf dem Gerät installiert wird. Oder die Sypware wird als legitime Anwendung getarnt, die ein Anwender aus einem App-Store herunterlädt und auf seinem Gerät installiert.

Shields will seine Entdeckung auf der ShmooCon-Sicherheitskonferenz vorstellen. Diese Schadcode-Formen seien auch nicht auf das BlackBerry beschränkt, sondern prinzipiell auf jedem Smartphone denkbar.

Nutzer sollten zumindest bei zweifelhaften Apps nicht den Knopf “Ich traue dieser Anwendung” drücken, denn auf diese Weise bekomme die Anwendung Zugang zu sämtlichen Daten auf dem Smartphone. Der BlackBerry biete zudem eine ganze Reihe von Sicherheitsmechanismen, die die Gefahren eines Angriffs minimieren. So lassen sich beispielsweise die Zugriffsrechte für eine Anwendung beschränken. Zudem sollte ein Anwender für jede App festlegen, welche Daten sie abgreifen darf. In einem Video demonstriert Shields, wie die Spyware arbeitet.