Backdoors ermöglichen Hackern Zugriff aufs Handy – Studie enthüllt erschreckende Details

  • in der Kategorie Security
  • veröffentlicht.
Sarwent

Wir kennen sie alle, nutzen sie auch manchmal mehr oder minder gezielt – die Rede ist von Backdoors, auf gut deutsch “Hintertüren”. In dem Zusammenhang befassen wir uns mit Apps, die uns im Alltag helfen, unserer Unterhaltung dienen oder die wir zu grossem Teil auch für geschäftliche Zwecke nutzen. Wir vertrauen dem jeweiligen App-Store vor Download und Installation. Auch die Tatsache, dass Millionen Nutzer vor uns zufrieden waren, hilft uns bei der Wahl der tauglichsten App. Dass diese Fakten allerdings oft bitter täuschen, besagt eine aktuelle Studie der Ohio State University.

Backdoors bilden Angriffsfläche für Hacker

Die Ohio State University wurde bei ihren Analysen tatkräftig vom CISPA Helmholtz Zentrum für Datensicherheit unterstützt. Bei allen Erkenntnissen waren also Profis am Werk. Ausgangslage für die umfangreiche Studie ist die zunehmende Popularität und Verbreitung von Apps. Während der Grossteil häufig genutzter Apps durchweg nützliche Funktionen beinhaltet, entdeckten die Akademiker jedoch die Existenz sogenannter Hintertüren.

Bei besagten Backdoors handelt es sich um Funktionen oder App-Verhalten, die dem Nutzer weder bei Installation noch beim Gebrauch offen liegen. Die Studie belegt, dass derlei versteckte Aktionen von Hackern sehr leicht ausgenutzt werden können, um Fernzugriff aufs Handy zu erhalten oder persönliche Daten zu stehlen.

Schaden sowohl für Nutzer als auch Entwickler

Potenzielle Folgen für Verbraucher liegen auf der Hand: Datendiebstahl und Fremdzugriff, das will niemand. Doch entgegen der eventuell nun aufkommenden Annahme, dass App-Entwickler die Bösewichte hinter Backdoors sind, wissen diese nichts über deren Existenz. Nutzen Hacker also versteckte Codes, schadet das gleichermassen den Betreibern. Vertrauen geht verloren, das Image leidet, im schlimmsten Fall verschwinden erfolgreiche Apps ganz vom Markt.

Das Fachchinesisch über Backdoors – schwere Kost

Universität und Datensicherheit-Zentrum entwickelten gemeinsam ein Tool zur Erkennung von Backdoors, es heisst INPUTSCOPE. Wer sich für sämtliche Details zu Werkzeug und allen Ergebnissen interessiert, die komplette Studie finden Sie hier.

Ganze 15 Seiten in relativ kleiner Schrift fasst das Dokument. Alles ist auf englisch und der Grossteil wirkt wie Fachlatein. Hier kommen wir ins Spiel. Mit über 150.000 getesteten Apps und davon fast 17.000, die mit Backdoors “infiziert” sind, klären wir Sie im Folgenden darüber auf, wie die Schädlinge identifiziert wurden und welche Verhaltensweisen sie an den Tag legen.

Identifizierung

Der Einfachheit halber bezeichnen wir die Backdoors als Geheimnisse. Um die Auswertungen zu verstehen, müssen wir ein geringfügiges Wissen über mathematisch-technische Formeln mitbringen. Es geht immer um das Verhältnis von Anzahl Codeversand beziehungsweise Eingabevalidierung zu Quellen. Laut INPUTSCOPE gibt es vier Formeln, die alle gemeinsam haben, dass die Inhalte mindestens eine hardkodierte Zeichenfolge verbergen. Damit bekommen auch alle vier Varianten von Backdoors ihren eigenen Namen:

  1. Secret Access Key: Das Verhältnis von Validierung zu Quelle ist 1:2.
  2. Master Password: Auch hier greift das Verhältnis von einer Validierung gegenüber mehreren Quellen. Einer beider Inhalte enthält eine geheime, hartkodierte Zeichenfolge.
  3. Blacklist Secret: Quasi genau umgekehrt, besteht ein Bezug von mehrfachen Eingaben zu nur einer einzigen Quelle.
  4. Secret Command: “Many-to-Many” ist der englische Begriff, mehrere Eingaben gegenüber vielen Quellen sind möglich, doch auch hier gibt es mehr als eine hardkodierte Zeichenfolge im Inhalt.

Verhaltensweise

Obwohl wir uns wie eben aufgeführt mit vier Varianten von Backdoors befassen, resultierten daraus fünf unterschiedliche, potenziell schädliche Verhaltensweisen:

  1. Administrator-Login: Eine Funktion, die normalerweise für den Endnutzer unsichtbar und somit unzugänglich ist. Dem Hacker ist dadurch erlaubt, grundlegende Konfigurationen zu ändern.
  2. Passwort-Erkennung und -Reset: Wie der Name schon sagt, geht es ums Aufdecken und Zurücksetzen von eigentlich privaten Passwörtern. Beliebte Angriffsflächen sind das Eingabefeld nach mehrfach gescheiterten Login-Versuchen und die Option, sich das eingegebene Passwort anzeigen zu lassen.
  3. Advanced Service Payment: Extra-Leistungen oder Funktionen, die normalerweise nur durch Zuzahlung gewährt werden. Hacker nutzen eine geheime Codierung, um den Nutzern dieselben Leistungen angeblich kostenlos zu gewähren.
  4. Versteckte Kommandos: Interessanterweise sind vor allem Apps fürs Handy-Debugging betroffen. Testmodi oder Shortcuts für schnelle Einstellungen sollen dem Nutzer eigentlich helfen, sind aber schädlich, wenn sie aus einer geheimen Codierung resultieren. Nebenbei gibt es auch Fälle, in denen der Endverbraucher derlei Kommandos zufällig entdeckt.
  5. Blacklist Secrets: Vertrauenswürdige Entwickler halten ihre Listen öffentlich. Gibt es eine Backdoor, funktionieren beispielsweise Schimpfwortfilter nicht richtig oder eingegebene Begriffe sind nicht ordnungsgemäss in Kategorien (wie etwa Drogen, Gewalt, Pornografie…) unterteilt. Dadurch erfährt der Benutzer teils unschöne Erlebnisse.

Der Umgang mit den entdeckten Backdoors

Weder die Ohio Staatsuniversität noch das CISPA Helmholtz Institut wollen die App-Entwickler an den Pranger stellen. Das ist auch der Grund dafür, warum in der Studie keinerlei Namen betroffener Apps erwähnt wurden. Die mitunter erschreckenden Ergebnisse sind auch kein Anlass dafür, in Panik zu verfallen oder eilig alle möglichen Apps zu deinstallieren.

Ausserdem ist ein sehr interessanter Fakt, dass zum Beispiel Tausende Apps mit Backdoors auf (unter anderem) Samsung-Handys sogar vorinstalliert sind. Grundsätzlich führt also nicht jede Hintertür automatisch zu einer schädlichen Funktion!

Die Urheber der Studie gehen davon aus, dass die meisten Entwickler ohne jegliche böse Absicht Codierungen verwenden, die für Hacker leicht abzuwandeln und zu knacken sind. Zusätzlich halten sie Features fürs Debugging für grundsätzlich unnötig – stattdessen sollten Entwickler lieber sicherheitsrelevante Validierungen auf den Backend-Servern einführen. Alternative wäre auch die Nutzung von zeitgemässen, seriösen Hardware-Komponenten für mobile Endgeräte.

Die Studie schafft also nicht nur Klarheit, die Verfasser geben zeitgleich jede Menge Empfehlungen. Generell sollen App-Entwickler vor der Veröffentlichung alle unnötigen Codes aus ihrer Applikation entfernen, das gilt gleichermassen für Test- und Debugging-Modi. Damit die Entwickler zeitnah reagieren und nach Möglichkeit für passende Patches sorgen können, wurden alle betroffenen Anbieter persönlich über die Studienergebnisse informiert.

16. April 2025KI

Prompt Engineering Leitfaden mit Tipps zu ChatGPT, Grok & Neuroflash

Prompt Engineering ist die Kunst und Wissenschaft, präzise und effektive Anweisungen (Prompts) für KI-Modelle wie ChatGPT, Neuroflash oder Grok zu

16. April 2025Security

WordPress 6.8 „Cecil“ ist da – Ein umfassender Überblick über die neuen Funktionen

Am 15. April 2025 wurde WordPress 6.8 veröffentlicht und bringt zahlreiche Verbesserungen in den Bereichen Performance, Sicherheit, Design und Benutzerfreundlichkeit

Weiterlesen
8. April 2025Analyse

Den ROI von KI-Tools messen und maximieren: Ein Leitfaden für Unternehmen

Den ROI von KI-Tools zu messen und maximieren ist für Unternehmen entscheidend, um Investitionen in Künstliche Intelligenz zu rechtfertigen. Wie

Weiterlesen
6. April 2025KI

KI-Tools für Unternehmen: Branchen, Anwendungsbereiche & konkrete Möglichkeiten

Künstliche Intelligenz (KI) ist längst kein Zukunftstraum mehr, sondern ein Werkzeug, das Unternehmen heute nutzen, um effizienter, kreativer und kundenorientierter

Weiterlesen
Zum Inhalt springen