Um zu demonstrieren, wie anfällig Smartphones sind, verteilen Forscher eine manipulierte Wetter-App. In kürzester Zeit gehen ihnen fast 8000 iPhones und Android-Handys ins Botnetz.

Die Experten von TippingPoint haben ihr Botnetz laut Dark Reading bei der Sicherheitskonferenz RSA in San Francisco vorgestellt. Ihre Vorgehensweise war denkbar einfach: Sie haben die Wetter-App "WeatherFist" auf verschiedenen Portalen zum Download angeboten. Aufgrund der Sicherheitsvorkehrungen und - bestimmungen verzichteten sie darauf, das Programm über Apples AppStore und dem offiziellen Android-Marktplatz zu verbreiten.

Obwohl WeatherFist nicht so komfortabel zu installieren ist wie Erweiterungen aus den offiziellen Stores, waren die Sicherheitsforscher erschreckend erfolgreich: Innerhalb von 60 Minuten registrierten sie 126 Downloads. Nach acht Stunden hatten bereits 702 Nutzer die Bot-App heruntergeladenn, nach 24 Stunden 1862. Bis zum Ende der Konferenz am 5. März errichtete das TippingPoint-Team ein Botnetz mit rund 8000 iPhones uind Android-Telefonen.

"Böse" App blieb an der Kette

20 Bilder

Technik 19.02.10

Alles außer iPhone Smartphone-Premieren

WeatherFist ist harmlos, ermittelt via GPS-Ortung den Aufenthaltsort des Handy-Besitzers und ruft dann die lokale Wettervorhersage von Weather Underground ab. Um zu demonstrieren, welchen Schaden ein mobiles Botnetz anrichten könnte, programmierte das TippingPoint-Team auch eine schädliche Version der App. "WeatherFistBadMonkey" kann Kontakte, Konten oder Adressen abgreifen und Spam verteilen. Die "böse" App boten die Forscher aber nicht zum Download an, sondern installierten sie nur auf ihren eigenen Smartphones. Ob mehr iPhone- oder mehr Android-Nutzer in die Falle gingen, teilte das TippingPoint-Team nicht mit.