BSI warnt vor unsicheren Smartphones und Tablets

Das Bundesamt für Sicherheit in der Informationstechnik berichtet nach einer Analyse verschiedenerer Tablets und Smartphones über vorinstallierte Schadsoftware auf IT-Geräten, die über Online-Plattformen auch in Deutschland erhältlich sind. Das BSI warnt vor dem Einsatz dieser Geräte auf Grundlage von §7 des BSI-Gesetzes und rät allen Anwenderinnen und Anwendern zu besonderer Vorsicht.
 

Schadsoftware auf dem Tablet
Im Januar und Februar 2019 hat das BSI über die Online-Plattform amazon drei verschiedene Tablets und Smartphones bestellt und in der Folge analysiert: Das Tablet Eagle 804 des Herstellers Krüger&Matz, das Smartphone S8 Pro des Herstellers Ulefone und das Smartphone A10 des Herstellers Blackview.
Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware Kontakt mit einem bekannten Command&Control-Server aufnimmt. Bei den Smartphones Ulefone S8 Pro und Blackview A10 konnte im aktuellen Auslieferungszustand keine Schadsoftware nachgewiesen werden. Die Hersteller bieten jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download an, in der diese Schadsoftware enthalten ist.
Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind.

Weiter verbreitet als gedacht
Dem BSI liegen zudem sogenannte Sinkhole-Daten vor, die über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem C&C-Server nachweisen.
Es muss daher von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden.
Das BSI hat deutsche Netzbetreiber bereits mittels CERT-Bund Reports über infizierte Geräte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen.

Risiko weiterer Schadsoftware
Ursprünglich hatte die Firma Sophos über entsprechende Infektionen bei Ulefone S8 Pro Geräten berichtet und die Funktionalitäten des Schadprogramms analysiert.
Die von Sophos als "Andr/Xgen2-CY" bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber könnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden.

Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Für die Geräte mit maliziösen Firmwareversionen wurden zum Untersuchungszeitpunkt keine Firmwareupdates angeboten.
Nutzerinnen und Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.

Bewusste und sicherere Kaufentscheidung
"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwenderinnen und Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf. Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwenderinnen und Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen. Hier sind die Händler gefordert.
Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen. Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich", so BSI-Präsident Arne Schönbohm.

Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte gegenwärtig aus dem Sortiment genommen zu haben.