Sicherheit + Datenschutz 23. April 2020 4 Min Lesezeit

Backdoors ermöglichen Hackern Zugriff aufs Handy – Studie enthüllt erschreckende Details

Geschrieben von
Roger Klein
Sarwent

Wir kennen sie alle, nutzen sie auch manchmal mehr oder minder gezielt – die Rede ist von Backdoors, auf gut deutsch «Hintertüren». In dem Zusammenhang befassen wir uns mit Apps, die uns im Alltag helfen, unserer Unterhaltung dienen oder die wir zu grossem Teil auch für geschäftliche Zwecke nutzen. Wir vertrauen dem jeweiligen App-Store vor Download und Installation. Auch die Tatsache, dass Millionen Nutzer vor uns zufrieden waren, hilft uns bei der Wahl der tauglichsten App. Dass diese Fakten allerdings oft bitter täuschen, zeigt eine aktuelle Studie der Ohio State University.

Backdoors bilden Angriffsfläche für Hacker

Die Ohio State University wurde bei ihren Analysen vom CISPA Helmholtz Zentrum für Datensicherheit unterstützt. Ausgangslage für die umfangreiche Studie ist die zunehmende Verbreitung von Apps. Während der Grossteil häufig genutzter Apps nützliche Funktionen enthält, stiessen die Forschenden dabei auf die Existenz sogenannter Hintertüren.

Bei besagten Backdoors handelt es sich um Funktionen oder App-Verhalten, die dir weder bei Installation noch beim Gebrauch offengelegt werden. Die Studie belegt, dass derlei versteckte Aktionen von Hackern leicht ausgenutzt werden können, um Fernzugriff aufs Handy zu erhalten oder persönliche Daten zu stehlen.

Schaden sowohl für Nutzer als auch Entwickler

Potenzielle Folgen für Verbraucher liegen auf der Hand: Datendiebstahl und Fremdzugriff – das will niemand. Doch entgegen der naheliegenden Annahme, dass App-Entwickler die Bösewichte hinter Backdoors sind, wissen diese oft nichts über deren Existenz. Nutzen Hacker versteckte Codes aus, schadet das gleichermassen den Betreibern. Vertrauen geht verloren, das Image leidet, im schlimmsten Fall verschwinden erfolgreiche Apps ganz vom Markt.

Das Fachchinesisch über Backdoors – schwere Kost

Universität und Datensicherheit-Zentrum entwickelten gemeinsam ein Tool zur Erkennung von Backdoors: INPUTSCOPE. Wer sich für alle Details zu Werkzeug und Ergebnissen interessiert, findet die komplette Studie hier.

15 Seiten in kleiner Schrift, auf Englisch, grossteils Fachlatein. Hier kommen wir ins Spiel. Über 150.000 Apps wurden getestet, davon sind fast 17.000 mit Backdoors «infiziert». Im Folgenden erklären wir dir, wie die Schädlinge identifiziert wurden und welche Verhaltensweisen sie zeigen.

Identifizierung

Der Einfachheit halber bezeichnen wir die Backdoors als Geheimnisse. Um die Auswertungen zu verstehen, braucht es ein wenig Grundwissen über mathematisch-technische Formeln. Es geht immer um das Verhältnis von Codeversand beziehungsweise Eingabevalidierung zu Quellen. Laut INPUTSCOPE gibt es vier Formeln, die alle gemeinsam haben, dass die Inhalte mindestens eine hardkodierte Zeichenfolge verbergen. Damit bekommen auch alle vier Varianten von Backdoors ihren eigenen Namen:

  1. Secret Access Key: Das Verhältnis von Validierung zu Quelle ist 1:2.
  2. Master Password: Auch hier greift das Verhältnis von einer Validierung gegenüber mehreren Quellen. Einer beider Inhalte enthält eine geheime, hartkodierte Zeichenfolge.
  3. Blacklist Secret: Quasi genau umgekehrt – mehrere Eingaben beziehen sich auf nur eine einzige Quelle.
  4. Secret Command: «Many-to-Many» – mehrere Eingaben gegenüber vielen Quellen sind möglich, doch auch hier steckt mehr als eine hardkodierte Zeichenfolge im Inhalt.

Verhaltensweise

Aus den vier Varianten von Backdoors resultieren fünf unterschiedliche, potenziell schädliche Verhaltensweisen:

  1. Administrator-Login: Eine Funktion, die für dich als Endnutzer unsichtbar und unzugänglich ist. Hackern erlaubt sie, grundlegende Konfigurationen zu ändern.
  2. Passwort-Erkennung und -Reset: Aufdecken und Zurücksetzen eigentlich privater Passwörter. Beliebte Angriffsflächen sind das Eingabefeld nach mehrfach gescheiterten Login-Versuchen und die Option, das eingegebene Passwort anzuzeigen.
  3. Advanced Service Payment: Extra-Leistungen oder Funktionen, die normalerweise nur gegen Aufpreis verfügbar sind. Hacker nutzen eine geheime Codierung, um dir dieselben Leistungen angeblich kostenlos zu gewähren.
  4. Versteckte Kommandos: Vor allem Apps fürs Handy-Debugging sind betroffen. Testmodi oder Shortcuts für schnelle Einstellungen sollen dir eigentlich helfen – sind aber schädlich, wenn sie aus einer geheimen Codierung stammen. Gelegentlich entdecken Endnutzer solche Kommandos sogar zufällig.
  5. Blacklist Secrets: Seriöse Entwickler halten ihre Listen öffentlich. Gibt es eine Backdoor, funktionieren Schimpfwortfilter nicht richtig, oder eingegebene Begriffe werden nicht korrekt in Kategorien wie Drogen, Gewalt oder Pornografie einsortiert. Das Ergebnis: ungewollte Inhalte für dich als Nutzer.

Der Umgang mit den entdeckten Backdoors

Weder die Ohio State University noch das CISPA Helmholtz Institut wollen App-Entwickler an den Pranger stellen. Deshalb wurden in der Studie keine Namen betroffener Apps erwähnt. Und die teils erschreckenden Ergebnisse sind kein Anlass für Panik oder einen eiligen App-Frühjahrsputz.

Ein interessantes Detail am Rande: Tausende Apps mit Backdoors sind auf Samsung-Geräten sogar vorinstalliert. Nicht jede Hintertür führt also automatisch zu einer schädlichen Funktion.

Die Forschenden gehen davon aus, dass die meisten Entwickler ohne böse Absicht Codierungen verwenden, die für Hacker leicht abzuwandeln sind. Debugging-Features halten sie für grundsätzlich unnötig – stattdessen empfehlen sie sicherheitsrelevante Validierungen auf den Backend-Servern sowie den Einsatz zeitgemässer Hardware-Komponenten für mobile Endgeräte.

Die Studie schafft Klarheit und liefert konkrete Empfehlungen: App-Entwickler sollen vor der Veröffentlichung alle unnötigen Codes entfernen – das gilt auch für Test- und Debugging-Modi. Damit Entwickler zeitnah reagieren und Patches liefern können, wurden alle betroffenen Anbieter direkt über die Ergebnisse informiert.

Tags: AppCybercrime
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-05-15 Kaiji – Neuartige Go-Malware im Umlauf 2020-06-15 Schadsoftware ohne Internetverbindung? Ramsay Malware macht es möglich 2020-08-04 Mit diesen Tipps zur Passwort Sicherheit machen Sie es Hackern schwer

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG