Letzte Woche gab es viele Neuigkeiten über die Sicherheit von Android-Smartphones. Viele Medien (zum Beispiel
ArsTechnica ) haben geschrieben, dass Google die Tatsache „bestätigt“ hat, Smartphones mit einer „werkseitig“ vorinstallierten Hintertür zu verkaufen. Der Grund für solche Schlagzeilen war ein vollständig technischer
Artikel des Google-Experten Lukasz Siverski mit einer Analyse der Triada-Familie mobiler Malware.
Triada ist Forschern (natürlich auch dem Google-Team) seit 2016 bekannt. Zum ersten Mal wurde eine Hintertür von Experten von Kaspersky Lab (
hier und
hier ) beschrieben. Diese beiden Materialien beschreiben die Einführung von Schadcode in das Betriebssystem (bereits in Android 4.x), das Sammeln und Senden von Benutzerdaten sowie die Änderung mehrerer Browser zur Anzeige von Bannerwerbung.
Was in dem Beitrag des Vertreters des Android-Sicherheitsteams wirklich interessant ist, ist die Antwort auf die Frage, wie genau der Schadcode in die Firmware der Telefone gelangt ist. Entwickler chinesischer Budgetgeräte haben sich an Auftragnehmer gewandt, um zusätzliche Funktionen zu entwickeln. Durch einen solchen Auftragnehmer wurde eine Hintertür in das System eingebaut.
Eine Studie von Kaspersky Lab aus dem Jahr 2016 beschreibt die Triada-Variante, die auf Telefonen chinesischer Hersteller vorinstalliert werden konnte, aber auch andere Smartphones angreifen konnte. Triada hat Schwachstellen in der aktuellen Version von Android 4.x ausgenutzt. Ein einzigartiges Merkmal der Hintertür war die Möglichkeit, sich in einen wichtigen Android-Prozess namens Zygote zu integrieren.
Durch diesen Ansatz hatte der Trojaner fast die vollständige Kontrolle über das Gerät. In einem Artikel des Android-Sicherheitsteams wird ein weiteres Detail beschrieben: Triada verwendete eine modifizierte su-Binärdatei, um die Kontrolle über Systemprozesse zu erlangen. Er erteilte Anwendungen nur dann Superuser-Berechtigungen, wenn sie eine Anfrage mit dem richtigen Kennwort stellten.
In einem Beitrag von Lukasz Siverski wird außerdem erläutert, wie die Hintertür nachverfolgt hat, welche Anwendung der Benutzer geöffnet hat. Wenn es sich um einen Browser handelte, wurden darüber Anzeigen angezeigt. Wenn der Google Play Store geöffnet wurde, hat Triada im Hintergrund Anwendungen von seinem eigenen Befehlsserver heruntergeladen und installiert.
Im Jahr 2017 führte Dr.Web in seiner
Studie Beispiele für Smartphones an, die mit der werkseitigen Hintertür infiziert waren: Leagoo M5 Plus, Leagoo M8, Nomu S10 und S20. Sowohl in China als auch im Westen wurden preiswerte Geräte (ca. 100 US-Dollar) verkauft, von denen einige immer noch in chinesischen Online-Shops erhältlich sind.
In einem kürzlich erschienenen Artikel enthüllt Google ein Schema für die Implementierung der "Factory" -Version von Triada (siehe Abbildung oben). Anscheinend haben sich Smartphone-Anbieter an Drittanbieter gewandt, um zusätzliche Funktionen in die Firmware des Geräts aufzunehmen, die im Android Open Source-Projekt nicht verfügbar waren. Zu diesem Zweck wurde ein Systemabbild an den Auftragnehmer gesendet (von Yehuo und Blazefire erwähnt). Er kehrte mit einem Anhang zurück - sowohl legitim (Entsperren angesichts des Besitzers) als auch böswillig. Google berichtete, dass sie zusammen mit Geräteentwicklern die Backdoor-Spuren aus der Firmware entfernt haben.
Aber anscheinend nur diese Hintertür. Am 7. Juni berichteten Vertreter der Information Security Administration (BSI) Deutschlands (
Nachrichten ) über die Entdeckung der Xgen2-CY-Hintertür in vier preisgünstigen Smartphones. Die Modelle Doogee BL7000, M-Horse Pure 1, Keecoo P11 und VKworld Mix Plus sammeln Benutzerinformationen und senden sie an den Befehlsserver. Sie können ohne Wissen des Benutzers Anwendungen installieren und Seiten in einem Browser öffnen. Nur für das Keecoo P11-Modell (5,7 Zoll, 4 Kerne, 2 Gigabyte Speicher, 110 US-Dollar bei GearBest) ist eine aktualisierte Version der Firmware ohne Hintertür verfügbar. Laut BSI greifen bis zu 20.000 Geräte von deutscher IP auf C & C-Server von Angreifern zu.
Im Allgemeinen ist das Problem noch nicht vollständig gelöst, und die Empfehlung für die Verbraucher lautet wahrscheinlich: Überlegen Sie zweimal, bevor Sie ein billiges Smartphone einer zweifelhaften Marke kaufen. Im Juli letzten Jahres haben wir einen Artikel von Motherboard zitiert,
in dem die Penny-Replik des iPhone X aus China beschrieben wurde. Das Gerät hat Benutzerinformationen rechts und links gesendet. Solche Handwerke fallen normalerweise nicht außerhalb Chinas, aber einige „internationale“ Geräte sind nicht besser. Während wir über Datenschutzprobleme und die Praxis der Erfassung von Benutzerdaten durch alle Marktteilnehmer diskutieren, werden Zehntausende Menschen auf der ganzen Welt Opfer regelrechter Cyberkrimineller.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.