Adam Gowdiak von Security Explorations hat zwei kritische Schwachstellen in der Java 2 Platform Micro Edition (Java ME), die u.a. für Nokias S40-Handys verwendet wird, gemeldet. Für einen detaillierten Bericht möchte er 20.000 Euro haben, dafür gibt es dann einen 178 Seiten umfassenden Report und über 14.000 Zeilen Proof-of-Concept-Code. Bisher sind daher nur allgemeine Informationen bekannt: Die Schwachstellen erlauben das Umgehen sämtlicher Sicherheitsbeschränkungen, also wohl den Ausbruch aus der Java-Sandbox.
14 Schwachstellen in der S40-Plattform
Außerdem wurden 14 weitere Schwachstellen gefunden, die nur Nokias S40-Plattform betreffen und über die ebenfalls keine detaillierten Informationen vorliegen. Laut Adam Gowdiak erlauben sie es, durch das Senden einer bestimmten Sequenz von Nachrichten unauthorisierten Zugriff auf das angegriffene Gerät zu erlangen. Der Angriff kommt ohne Mitwirkung des Benutzers aus und kann automatisch durchgeführt werden. Der Angreifer kann beliebige Java-Programme installieren und ausführen, die dann über die Schwachstellen in Java ME die Kontrolle über das Gerät übernehmen können.
Adam Gowdiak ist im Bereich der Java-Security kein Unbekannter: Von ihm wurde 2004 der erste Java-ME-Exploit veröffentlicht. Damals zeigte er, wie ein bösartiges Java-Programm aus der Java-Sandbox ausbrechen und vom Benutzer unbemerkt auf Speicherbereiche und Systemfunktionen des betroffenen Handys zugreifen kann.
Folgenreiche Schwachstellen
In einer Presseerklärung führt Adam Gowdiak eine Reihe möglicher Folgen eines erfolgreichen Angriffs auf:
- Senden beliebiger SMS, MMS und WAP PUSH-Nachrichten
- Durchführen beliebiger Telefonanrufe
- Aufbau beliebiger Internetverbindungen
- Unbemerktes Aufzeichnen von Audio- und Videostreams
- Vollständiger Lese- und Schreibzugriff auf die auf dem Gerät gespeicherten Dateien
- Lese- und Schreibzugriff auf die Kontaktdatenbank
- Zugriff auf die SIM-Karte des Handys
- Einrichten einer versteckten Hintertür mit den Rechten des Netzwerkbetreibers oder Herstellers
Auf bestimmten Nokia-Geräten ist es außerdem möglich, bösartige Programme unbemerkt im Hintergrund auszuführen. Der Angreifer kann damit die Kontrolle über das angegriffene Gerät übernehmen, ohne dass es der Benutzer merkt. Adam Gowdiak konnte eine Shell installieren und darüber beliebige Befehle ausführen.
Betroffene Systeme
Die Gesamtzahl betroffener Systeme schätzt Adam Gowdiak auf mehrere Millionen, da wahrscheinlich eine Referenz-Implementierung von Suns Java-Mobile-Technologie betroffen ist, die von den meisten Handy-Herstellern als Ausgangsbasis ihrer Produkte verwendet wird. Die Schwachstellen wurden u.a. in der aktuellen Version des Java Wireless Toolkit gefunden. Damit erstellte Programme können daher die Schwachstellen ebenfalls enthalten.
Programme installieren - wie geht das?
Im Normalfall muss der Benutzer vor der Installation eines Programms seine
Zustimmung dazu geben, außerdem dürfen installierte Programme
nur bestimmte Funktionen ohne Rückfrage beim Benutzer ausführen.
Insbesondere dann, wenn eine Funktion Kosten verursacht, z.B. durch den
Aufbau einer Internetverbindung, ist die Zustimmung des Benutzers
erforderlich. Nur von dazu befugten Herstellern digital signierte Programme
erhalten automatisch die Berechtigung zur Ausführung bestimmter
Funktionen. Ähnlich sieht es bei der automatischen Installation bzw.
Konfiguration der Geräte aus: Auch dies ist nur mit Zustimmung des
Benutzers über spezielle Nachrichten der Netzbetreiber möglich,
wie es z.B. bei der Konfiguration des Internetzugangs über eine
entsprechende Konfigurations-SMS gemacht wird.
Allen Anschein nach kann Adam Gowdiak diese Möglichkeiten ausnutzen,
um seine Schadprogramme einzuschleusen. Wie er das aber geschafft hat und
welche Voraussetzungen erfüllt sein müssen, ist bisher nicht
bekannt.
Sun bereitet Patches vor
Laut Sun sind nur veraltete Java-ME-Versionen betroffen, die um 2004 aktuell waren. Patches sollen in den nächsten 1-2 Monaten bereit stehen. Hoffentlich hat da niemand Adam Gowdiaks alte Entdeckung mit der neuen verwechselt. Merkwürdig ist auch, das Sun von 'a couple of potential vulnerabilities' in Java ME spricht, während von Adam Gowdiak nur zwei gemeldet wurden. Alle anderen Schwachstellen sind Nokia-spezifische Probleme.
Hier gilt also mal wieder "Nichts genaues weiß man nicht": Adam Gowdiak verrät keine Details, Suns Reaktion konnte ich bisher auf deren Website nicht finden, Nokia hüllt sich in Schweigen, und auch von den Herstellern verschiedener Antivirenprogramme wurden die Schwachstellen bisher lediglich zur Kenntnis genommen. Zum Beispiel von McAfee und F-Secure. Wobei F-Secures Argumentation auf ziemlich dünnem Eis rumwackelt: "The S40 platform has never been targeted by a mobile phone virus or other malware. We're not expecting to see real-world attacks using this vulnerability in the near future either." Weil es bisher keinen Angriff gab, gibt es auch in Zukunft keinen? Das glaube ich nicht...
Snakeoil gefällig?
Adam Gowdiak hat in der FAQ zu seiner Entdeckung darauf hingewiesen, dass es aufgrund des Designs der betroffenen Systeme keine Antivirus-Software geben kann, die derartige Angriffe erkennen würde. Passend dazu wurde von den Kaspersky Labs ein (bisher) harmloses Demoprogramm entdeckt, das sich als Virenscanner für die Java-ME-Plattform ausgibt. Ob zwischen dem Bekanntwerden der Schwachstellen und dem Auftauchen des angeblichen Virenscanners ein Zusammenhang besteht oder ob die zeitliche Nähe beider Ereignisse reiner Zufall ist, ist schlecht zu beurteilen. Es ist durchaus möglich, das jemand die Gelegenheit nutzen und sich mit dem angeblichen Virenscanner bereichern möchte. Denn den um Schadfunktionen zu erweitern und erneut im Umlauf zu bringen, ist für seine Programmierer mit Sicherheit kein Problem. Ein trojanischer Virenscanner, der angeblich vor den Schwachstellen schützt, die er selbst ausnutzt - warum nicht?
Fazit
Wir haben es hier mit zwei Gruppen von Schwachstellen zu tun: Zum einen die beiden in Java ME, zum anderen die 14 in Nokias S40-Plattform. Ob die Schwachstellen in Java ME wirklich existieren, welche Versionen von Java ME betroffen sind, wie schwierig ihre Ausnutzung ist, all das ist immer noch unklar. Solange Adam Gowdiak keine Details veröffentlicht, anhand derer unabhängige Dritte die Schwachstellen überprüfen können, wird das auch so bleiben. Denn Suns Aussagen dazu tragen mehr zur Verwirrung bei als aufzuklären. Auch ob wirklich eine Gefahr für die Besitzer von S40-Handys besteht oder nicht, kann man erst beurteilen, wenn Details veröffentlicht wurden und/oder Nokia sich dazu geäußert hat. Oder man greift zur Argumentation von F-Secure: Das gabs noch nie, also gibst das auch jetzt nicht. Was ich persönlich nicht sehr überzeugend finde. Schließlich galt Java ME bis 2004 auch als absolut sicher - bis Adam Gowdiak bewies, dass ein bösartiges Programm aus der Sandbox ausbrechen kann. Das gab's schon mal, warum nicht wieder?
Carsten Eilers
Kommentare