Derek Brown und Daniel Tijerina, Sicherheitsexperten des US-Unternehmens TippingPoint, haben auf der RSA-Konferenz demonstriert, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones bringen lässt: Die beiden hatten mit WeatherFist eine Anwendung programmiert, die vordergründig nichts anderes macht, als das Wetter am Aufenthaltsort anzuzeigen - allerdings auch in der Lage wäre, die Kontrolle über das Smartphone zu übernehmen.
In der Demo wurde auch gezeigt, wie anfällig manipulierte iPhones sind, die mit einem “Jailbreak” für Programme außerhalb des iTunes App Stores geöffnet wurden. Der Apple Store bekam aber gute Noten. Der iTunes AppStore biete einen gewissen Schutz vor bösartigen Anwendungen. Hier gebe es rigorose Checks des Sourcecodes auf mögliche Sicherheitsprobleme durch Buffer Overflows, Copyright-Verstöße sowie erlaubte Protokolle und APIs. Angesichts solch tiefgreifender Checks würden Brown zufolge bösartige Funktionen, die sich hinter einer vermeintlich harmlosen App verstecken, sicher sofort auffallen. Updates würden nach den gleichen strengen Kriterien getestet. Bei Google sei man weniger gründlich, sagten die Sicherheitsexperten. Dort verlasse man sich offenbar auf die Wachsamkeit der Community.
Details bei heise online — Der Smartphone-Bot, der mit dem App-Update kam.
