Mit einer neuen Methode ist es Wissenschaftlern gelungen, mit bis zu 92 Prozent Erfolgschance auf diverse Apps zuzugreifen. Auf einem Android-Smartphone hat man den Versuch durchgeführt, aber auch auf Geräten mit iOS und auch Windows Phone sei die Methode anwendbar.
Wenn gleich das USENIX Security Symposium in San Diego, Kalifornien über die Bühne geht, werden auch Wissenschaftler vom UC Riverside zugegen sein und ihr Projekt vorstellen, mit dem es ihnen gelungen ist, verschiedene Apps wie Gmail auszuspähen, was schlimmstenfalls den Zugriff auf die persönlichen Daten des jeweiligen Geräte-Inhabers erlaubt.
Wie Zhiyun Qian erklärt, der als Wissenschaftler beim Computer Science and Engineering Department des UC Riverside arbeitet, sei man fälschlicherweise davon ausgegangen, dass sich auf unseren mobilen Geräten verschiedene Apps nicht untereinander ins Gehege kommen. Mit ihrem Projekt widerlegen sie diese Annahme und beweisen, dass man mit großer Wahrscheinlichkeit auf viele Apps in Echtzeit zugreifen kann, wenn es erst einmal gelungen ist, eine kleine Malware auf das Smartphone zu schleusen.
Die betreffende Software kann sowas Schlichtes sein wie ein Wallpaper, welches man sich aufs Gerät lädt. Ist sie dann erst einmal auf dem Gerät, greifen die Wissenschaftler auf die Shared Memory-Daten jedes beliebigen Prozesses zu. Jetzt kann man in Echtzeit die Veränderungen beim Shared Memory beobachten und auf diese Weise haargenau nachvollziehen, was der Smartphone-Besitzer gerade mit seinem Device anstellt bzw auf welche App er zugreift.
Das kann eine Banking-App sein, der Gmail-Account oder irgendeine andere App, bei der man mit dem richtigen Timing dem Nutzer einen falschen Login-Screen unterjubeln kann. Das hat bei sieben getesteten Apps bei sechs von sieben mit einer Erfolgswahrscheinlichkeit von 82 bis 92 Prozent geklappt – wobei bei Gmail der Wert von 92 Prozent erreicht wurde. Lediglich die Amazon-App war schwieriger zu knacken: Hier liegt die Wahrscheinlichkeit, dass es klappt “nur” bei 48 Prozent.
Sehr unschöne Nummer, die die Wissenschaftler auf einem Android-Smartphone getestet haben, aber dazu ergänzen, dass es mit dieser Methode ebenso einfach auch auf einem Windows Phone-Smartphone oder einem iOS-Gerät durchgeführt werden könnte. Hier habt ihr ein paar Videos, die die Vorgehensweise erklären:
