Willkommen Zombies! Smartphone-Besitzer landen leicht im Botnet
Mittwoch, 10 März 2010 6:26 von Ralf Müller
Wie dämlich sind iPhone- und Android-Nutzer? Ziemlich. 8.000 von ihnen ließen sich problemlos bei einem fingierten Test auf Anhieb in die Falle locken: Sie installierten die vorgebliche Wetter-App und wurden damit Teil eines Botnets.
Die leichtgläubigen Opfer hatten Glück, dass es in diesem Fall nur eine praktische Feldstudie von IT-Sicherheitsforschern war. Derek Brown und Daniel Tijerina wollten damit nur beweisen, dass es heute im Prinzip problemlos möglich ist, ein Botnet aufzuziehen. Binnen kürzester Zeit gingen ihnen über 8.000 echte iPhone- und Android-Besitzer ins Netz. Damit haben sie den »Proof of Concept« erbracht. Ihre Tarn-App hieß übrigens »WeatherFist« und war in der Lage, Telefonnummern und GPS-Koordinaten auszulesen. Vorgeblich, um lokale Wetterberichte zur Verfügung zu stellen. Damit könnten Cyber-Kriminelle bereits feststellen, wer der Kunde ist und dass er sich weit weg von seiner Wohnung aufhält. Wären die Forscher bösartig gewesen, hätten sie kontinuierliche weitere Daten sammeln, gefälschte Updates in Netzprofile posten oder Spam versenden können.
Theoretisch war ja schon klar, dass Smartphone-Botnets funktionieren würden. Nun liegt also auch der praktische Beweis vor. (Quelle: TheInquirer.de)
Kommentare
Mit “echten iPhone Besitzern” sind tatsächlich Besitzer von jailbroken iPhones gemeint, also eher die “unechten”.
Hätte man im Artikel vielleicht erwähnen können aber wer liest es dann noch?
im Orginal Text: “The application was not published on either the official iPhone or Android application stores, but still attracted hundreds of takers of (presumably jailbroken) iPhones and other smartphones via third party app marketplaces, such as Cydia and SlideME (app T&Cs via Google cache here).” -> also jailbreak und sonstige…
“Ihre Tarn-App hieß übrigens »WeatherFist« und war in der Lage, Telefonnummern und GPS-Koordinaten auszulesen. Vorgeblich, um lokale Wetterberichte zur Verfügung zu stellen.”
Naja, wer so *klug* ist eine Wetterapp auf persönliche Daten zugreifen zu lassenn, dem ist eh nicht mehr zu helfen. Solche Anwendungen kommen mir gar nicht erst aufs Telefon.
Hab solche Zugriffswünsche auch schon bei Spielen etc erlebt.
da mus ich dir aber leider widersprechen: gerade so eine wetterapp macht eben sinn, wenn sie auf bestimmt persönliche daten zugreifen kann, eben der lokalität wegen. zudem gings nur ums proof of concept, es hätte auch gen eine andere app sein können und viele geben erst durch datenzugriff sinn. hier sollte eher ein ansatz zur kontrolle gesetzt werden, unter android gibt es zb apps wie aspotcat, die zumindest übewachen, wer auf was zugreifen kann und dieses erklären (bei apple weiss ich es schlicht nicht, soll also kein bashing sein). dem anwender kann man sowas aber nur sehr bedingt in die verantwortung schieben, denn diese geräte wenden sich eben nicht nur an leute, die wissen, was da passiert.
Kommentar hinzufügen