Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Brauche ich Antivirensoftware auf dem Smartphone?

Aktuell April 2008

Autor Thomas Mandl [Mitarbeiter vom österreichischen Antiviren-Anbieter Ikarus. Geschrieben als Antwort auf die Anfrage eines befreundeten Security Officers bezüglich des Einsatzes im Unternehmen, daher das vertraute "du" im Text.]

 

Bedrohungsbild

prinzipiell ist das bedrohungsbild derzeit noch sehr schwach (siehe nachfolgende gründe), jedoch ist eine gezielte attacke (wirtschaftsspionage) via PDA/smart phone leicht zu realisieren, wenn physikalischer access möglich ist (hängt vom PDA ab), oder wenn man das userverhalten kennt. beispielsweise kann man auf einem Palm Treo 680 trotz passwortschutz/sperre zugriff auf lokale daten erhalten, oder viele windows mobile devices befolgen AutoRun/AutoStart dateien auf externen speicherkarten (SD Card, etc...). d.h. hab ich physikalischen access auf deinen PDA, kann ich damit leichter spionage malware einschleusen indem ich mal schnell deine speicherkarte austausche, wenn du nicht am platz bist (außer du nimmst deinen PDA mit, wenn du den tisch verlässt) ... u.v.m.

nachfolgend das wichtigste:

-) derzeit sind ca. 50 - 80 viren (malware) für mobile endgeräte bekannt/registriert. die info stammt aus dem jahr 2007, also nicht mehr ganz aktuell, aber im vergleich zur windows malware spielt dieser wert ja kaum eine rolle. für windows haben wir eine tägliche malware zuwachsrate von rund 25.000 (fünfundzwanzigtausend pro tag!!!). die meisten der mobilen viren sind derzeit "nur" proof of concepts ... da wir aber immer mehr verlagerungen von applikationen auf den PDA/handy sehen, wird es vermutlich nicht mehr lange dauern, und wir haben hier eine neue bedrohung.

zusätzlich wurden von einigen banken der handy TAN eingeführt... paranoid wie ich bin, könnte ich mir vorstellen, dass das die kriminellen hacker auf den pfad bringt, mobile devices zu hacken ... phishing wird somit leichter.

-) das hauptproblem der mobilen malware ist die vielzahl von unterschiedlichen handy/PDA betriebssystemen. die häufigesten sind: Windows CE/Windows Mobile 5/Windows Mobile6, Nokia's Symbian S60 R2 und R3, und einige andere "exoten". die durchschnittliche lebensdauer eines handys/PDAs ist 21 monate ...

aber achtung: die PDA betriebssysteme kennen keine multiuser umgebung. d.h. wir sind hier eigentlich in der pre-MS-DOS ära. es gibt kaum access control. erst windows mobile 6 hat schutzmechanismen in der richtung implementiert. ich hab euch ein microsoft dokument angehängt, das das security modell (leider etwas technischer) beschreibt ...

-) dr. vesselin bontchev (ein spezialist von frisk software in dem bereich - hab ihn auf der virus bulletin konferenz 2007 getroffen) hat einen interessanten artikel diesbez. geschrieben. ich habe euch die proceedings damals zum download bereitgestellt. sollte jemand die PDFs nicht haben, bitte um kurze info, dann stell ich sie nochmals online.

-) software, die z.b. unter symbian S60/R2 läuft ist nicht binärkompatibel zu S60/R3. alle S60/R3 software muss "digital signiert" sein, um gestartet werden zu können, wir wissen aber alle, wie viel eine digitale signatur tatsächlich wert ist (gegen einige hundert USD kann man jede applikation bei nokia digital signieren lassen). nokia kann nicht bewerten, ob es sich dabei um malware handelt oder nicht ...

Klick führt zum Comic bei f-secure

-) bei infektion durch bluetooth und/oder MMS muss der user trotzdem immer noch bestätigen (geht aber relativ leicht, da der user im normalfall keine ahnung hat, was der da bestätigt - siehe den comic rechts ...) vor allem kann ich das zu einer DoS (denial of service) situation ausweiten, sodass du die malicious aufforderung zur verbindungsannahme auf jeden fall akzeptieren musst, sonst kannst du nicht mehr telefonieren ...

-) was wesentlich einfacher geht, ist eine infektion, wenn man seinen PDA/smartphone z.B. via WLAN im internet betreibt, und darauf surft. einige browser exploits funktionieren auch auf PDAs.

-) Da viele user ihre mails auf das handy/PDA/smartphone weitergeleitet bekommen, wäre es theoretisch ein leichtes, den user durch eine entsprechende mail auf eine webseite zu locken, um dort gezielt einen exploit anzubringen.

******************
-) ACHTUNG: da microsoft immer mehr auf die .NET technologie setzt, wird es für virenschreiber auf mobilen endgeräten immer leicher! windows mobile 5/6 und windows XP haben durch das .NET framework die gleiche "code base" was bedeutet, dass ein .NET virus der z.B. für windows XP entwickelt wurde, auch auf einem windows mobile 5/6 device funktionieren würde!!! was das bedeutet muss ich wohl nicht näher erläutern...
******************

 

Schutzsoftware

es gibt einige gute "zusatzsoftware" mit der man PDAs/smartphones relativ gut kontrollieren kann (kein virenscanner). z.B. nokia intellisync suite für symbian geräte, oder eine group policy für windows mobile geräte, die via active directory verteilt/gewartet werden kann, etc ... das kann zusätzlich helfen, das risiko für mobile infeltionen zu reduzieren (natürlich nur mit einer strengen policy und der mithilfe des users ... :-)

-) ein problem stellt auch software dar, die vom user selber installiert werden darf (z.b. via internet download) und die eigentlich nicht überprüft werden kann. z.B. ich gehe mit meinem PDA online und lade mir ein neues spiel herunter, etc...

-) hier könnte nur ein virenscanner helfen (falls er die schadsoftware auch erkennt)

-) ein punkt der oft übersehen wird ist, dass ich (falls ich einen gezielten angriff durchführe) nicht unbedingt das mobile endgerät infizieren muss. der weg über den desktop PC/notebook geht auch, denn damit synchronisieren die meisten user ihre PDAs. manche verwenden nur "sync over the air" mit z.B. nokia intellisync, aber gerade kleinere unternehmen haben das nicht.

-) aktuelle lösungen für viren scanner gibt es von einigen namhaften anbietern, darunter auch von F-Secure, Kaspersky, McAffe, Symantec. Ikarus hat derzeit einen proof of concept der noch adaptiert werden kann, da wir noch nicht sicher sind, für welches mobile betriebssystem der scanner entwickelt werden sollte. ich hatte leider kein möglichkeit eines der mitbewerbsprodukte zu testen, aber ich glaube, dass ein mobile scanner keine echtzeitinfektion verhindern kann, da die meisten implementierungen nur einen "on demand" scanner implementieren werden. leider konnte ich wie gesagt kein produkt selber testen.

-) Nachteile von AV Scannern am PDA

    *) verbraucht mehr strom/akkuleistung sinkt, falls wirklich echtzeit scanning aktivert wird

    *) technologie noch nicht wirklich ausgereift,

    *) oft kein on access scan möglich, meist nur "on demand" scan zeitgesteuert.

    *) wie kommen die mobilen endgeräte zum virus DB update???? was mach ich im ausland, wenn ich VDB pudates herunterladen muss (wird teuer...), bzw. nicht überall roaming verfügbar.

    *) wann lädt man updates herunter, das handy müsste ja regelmäßig online gehen, etc...

    u.v.m.

-) t-mobile liefert für seine smart phones (in ö) den f-secure scanner mit aus, das ist eine 30 tage trial version, die nur die volle funktionsfäigkeit hat, wenn sie aktiviert/registriert wurde...

 

Summary

(geschrieben im Hinblick auf den Einsatz von Smartphone-Virenschutz in Unternehmen)

IMHO ist ein AV scanner für mobile endgeräte nur dann notwendig wenn...

    *) das userverhalten riskant ist (keine awareness der user, anwender lassen bluetooth immer aktiv, synchronisieren mit desktop/notebook, verwenden WLAN oder UMTS verbindeun vom handy aus, etc...)

    *) der user ein "besonders" target sein kann (vorstand oder VIP oder jemand mit interessanten informationen)

    *) du ein grünes hackerl bei den "compliance richtlinien" brauchst :-)

    *) du eine homogene PDA/Smartphone landschaft hast (nur dann macht es überhaupt sinn...)

    *) die lösung vernünftig zentral managebar ist

 

Weiterführende Informationen

Hier gibt es noch viel mehr zum Thema Mobile (Un)Sicherheit, auch ein Abschnitt über Schadsoftware.

 

Philipp Schaumann, http://sicherheitskultur.at/


Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.