Vorinstallierte Schadsoftware – BSI warnt vor Tablets und Smartphones

Auf Tablets und Smartphones, die ├╝ber Online-Plattformen auch in Deutschland gekauft werden k├Ânnen, kann sich vorinstallierte Schadsoftware befinden. Das hat das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) zun├Ąchst an einem Tablet nachgewiesen. Das BSI warnt vor dem Einsatz dieses Ger├Ąts auf Grundlage von ┬ž7 des BSI-Gesetzes und r├Ąt allen Anwenderinnen und Anwendern zu besonderer Vorsicht. Im Zuge der Analyse sind zudem weitere Ger├Ąte unterschiedlicher Hersteller aufgefallen, f├╝r die die auf der jeweiligen Hersteller-Webseite bereitgestellte Firmware die gleiche Schadsoftware enth├Ąlt.

Konkret hat das BSI ├╝ber die Online-Plattform amazon im Januar und Februar 2019 das Tablet Eagle 804 des Herstellers Kr├╝ger&Matz, das Smartphone S8 Pro des Herstellers Ulefone und das Smartphone A10 des Herstellers Blackview bestellt und in der Folge analysiert. Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand ├╝ber eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.

Bei den Smartphones Ulefone S8 Pro und Blackview A10 konnte im aktuellen Auslieferungszustand (Firmwareversion V3EG62A.JKE.HB.H.P3.0711.V3.05_20180711-1021 (Blackview A10), Firmwareversion F9G62C.GQU.Ulefone.HB.H.SSXSJS5MHMYP1HK.042 (Ulefone S8 Pro)) keine Schadsoftware nachgewiesen werden. Die Hersteller bieten jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download an, in der diese Schadsoftware enthalten ist. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Ger├Ąte ebenfalls betroffen sind.

Urspr├╝nglich hatte die Firma Sophos ├╝ber entsprechende Infektionen bei Ulefone S8 Pro Ger├Ąten berichtet und die Funktionalit├Ąten des Schadprogramms analysiert.

Dem BSI liegen zudem sogenannte Sinkhole-Daten vor, die ├╝ber 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem malizi├Âsen C&C-Server nachweisen. Es muss daher von einer gr├Â├čeren Verbreitung von Ger├Ąten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden. Das BSI hat deutsche Netzbetreiber bereits mittels CERT-Bund Reports ├╝ber infizierte Ger├Ąte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen.

Die von Sophos als „Andr/Xgen2-CY“ bezeichnete Schadsoftware ├╝bermittelt ad hoc verschiedene kennzeichnende Daten des Ger├Ąts an den C&C-Server und verf├╝gt daneben auch ├╝ber eine Nachladefunktion. Dar├╝ber k├Ânnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Ger├Ąten platziert und ausgef├╝hrt werden. Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht m├Âglich. F├╝r die Ger├Ąte mit malizi├Âsen Firmwareversionen wurden zum Untersuchungszeitpunkt keine Firmwareupdates angeboten. Nutzerinnen und Nutzer haben daher keine M├Âglichkeit, die Ger├Ąte zuverl├Ąssig zu bereinigen und ohne Schadfunktionalit├Ąt zu betreiben.

Achtung
Wer eines der genannten Ger├Ąte nutzt oder genutzt hat sollte in jedem Fall alle Passw├Ârter und Zugangsdaten ├Ąndern und die Ger├Ąte nicht mehr nutzen. Wenn Onlinebanking genutzt wurde sollte ein wachsames Auge auf die Kontobewegungen haben und auch dort unbedingt die Zugangsdaten ├Ąndern.

„Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium f├╝r eine Kaufentscheidung sein d├╝rfen. Die Anwenderinnen und Anwender zahlen sonst m├Âglicherweise mit ihren Daten oder durch betr├╝gerische Aktivit├Ąten deutlich drauf. Um eine fundierte Kaufentscheidung treffen zu k├Ânnen, sind die Anwenderinnen und Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen. Hier sind die H├Ąndler gefordert. Sie m├╝ssen auch daf├╝r Sorge tragen, dass solche Ger├Ąte gar nicht erst in den Markt kommen. Wir haben die Hersteller der Ger├Ąte ├╝ber unsere Erkenntnisse informiert und sie aufgefordert, geeignete Ma├čnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht m├Âglich“, so BSI-Pr├Ąsident Arne Sch├Ânbohm.

Amazon hat gegen├╝ber dem BSI angegeben, die drei genannten Ger├Ąte nach der Kontaktaufnahme durch das BSI gegenw├Ąrtig aus dem Sortiment genommen zu haben.

Was K├Ąuferinnen und K├Ąufer der o.g. Ger├Ąte jetzt tun sollten und worauf alle IT-Nutzerinnen und -Nutzer beim Kauf von IT-Ger├Ąten beachten sollten, hat das BSI unter www.bsi-fuer-buerger.de zusammengefasst.

Quelle: Bundesamt f├╝r Sicherheit in der Informationstechnik
Internet: www.bsi.bund.de

 

Immer auf dem Laufenden mit unseren App’s zu Produktr├╝ckrufen

Produktr├╝ckrufe als App f├╝r Android und iOS ÔÇô┬áNeu┬áPWA

App f├╝r iPhone google-play-badge

weitere Artikel zum Thema...