Sony macht's wieder Die Rückkehr des Rootkits

Erneut hat Sony Hackern die Tür zu Windows PCs geöffnet. Bestimmten USB-Sticks der Firma liegt eine Software bei, die versteckte Ordner installiert. Die Sicherheitsfirma F-Secure warnt, auf diesem Weg könne Schadsoftware auf den Rechner gelangen.


Bei der Installation der Treibersoftware werde im Windows-Verzeichnis der Startfestplatte ein verborgener Ordner mit ebenso verborgenen Dateien angelegt, berichtet Mika Tolvannen im Blog der Firma. Die sind derart getarnt, dass sie vom Windows Explorer nicht angezeigt werden.

Sony Microvault USM-F: Die mit diesen Speichersticks gelieferte Software könnte Schadprogrammen die Tür aufstoßen

Sony Microvault USM-F: Die mit diesen Speichersticks gelieferte Software könnte Schadprogrammen die Tür aufstoßen

Kennt man jedoch die Bezeichnung des Ordners, sei er beispielsweise über ein Befehlszeilenprogramm problemlos erreichbar. Zudem, so Tolvannen, könnten Hacker darin eigene getarnte Dateien ablegen, darunter auch ausführbare Programme. Schlimmer noch: Es gibt nach Angaben des Sicherheitsspezialisten einige Virenscanner, die Schädlinge in solchen versteckten Ordnern nicht aufspüren können.

Damit ähnelt die von F-Secure aufgedeckte Schwachstelle jenen Rootkit genannten Programmen, mit denen Sony BMG Music bereits 2005 unangenehm aufgefallen war. Damals hatte der Konzern Audio-CDs mit einer speziellen Software versehen, die sich beim Einlegen der CD in das CD-Laufwerk eines PCs heimlich und unsichtbar installierte. Nach dem Bekanntwerden dieser als Kopierschutz gedachten Methode dauerte es nicht lange, bis Hacker Wege fanden, die durch das Rootkit geöffneten Einfallstore zu nutzen, um Schadprogramme auf Rootkit-verseuchten PCs einzuschleusen.

Sony BMG wurde damals von der amerikanischen Federal Trade Commission (FTC) verklagt, konnte sich aber auf einen Vergleich einigen. Insgesamt zahlte die Firma mehrere Millionen Dollar Entschädigung an verschiedene Kläger. Erst vor wenigen Wochen reichte der japanische Konzern seinerseits Klage gegen die Firma MediaMax 5, Hersteller des umstrittenen Kopierschutzes ein und forderte zwölf Millionen Dollar Schadensersatz.

Neuauflage aus China

Das nun aufgetauchte Rootkit stammt offenbar von einer anderen Firma. In einem Interview der "Infoworld" sagte der F-Secure-Forschungschef Mikko Hypponnen, es handele sich bei der gefundenen Software nicht um eine Neuauflage des Rootkits von 2005. "Es sieht so aus, als hätte das eine chinesische Firma gemacht", sagte Hypponnen und verwies darauf, dass Sony derartige Entwicklungsarbeiten von Drittfirmen erledigen lässt.

Grundsätzlich, so Tolvannen, sei Sonys Vorgehen nachvollziehbar. Die USB-Sticks, auf denen die Rootkit-Software gefunden wurde, stammen aus Sonys Microvault USM-F-Serie, die zum Schutz der Daten mit einem Fingerabdruckscanner ausgestattet ist. Offenbar wollten Sonys Programmierer die Fingerabdruckdateien vor unbefugten Zugriffen schützen, indem sie diese in einem unsichtbaren Ordner ablegten. Das sei zwar verständlich, aber in der von Sony ausgeführten Art und Weise sicher nicht der beste Weg.

Hätte Sony den versteckten Ordner nur für seine eigenen Dateien zugänglich gemacht, wäre laut Hypponnen niemand darüber gestolpert. In der vorliegenden Version sei aber die Tür für Manipulationen weit offen. Hypponnen ist daher überzeugt, dass es nicht lange dauern werde, bis auch diese Sicherheitslücke von böswilligen Programmierern genutzt werde.

Geringe Gefährdung

Im Gegensatz zur Situation vor zwei Jahren, als Sony die Rootkit-Software auf populären Audio-CDs verbreitete, dürfte die Gefährdung dieses Mal jedoch nur eine Minderheit betreffen. Sonys im Januar 2006 vorgestellten Fingerprint-USB-Sticks waren zumindest in Helsinki, F-Secures Heimatstadt, nur schwer zu beschaffen. Kein Wunder, denn nach Auskunft von Sony Deutschland werden die fraglichen Modelle nicht mehr aktiv vermarktet. Bei den wenigen noch angebotenen Geräten handelt es sich ausschließlich um Restbestände.

Anwendern, die einen solchen Stick bereits in Benutzung haben, ist jedoch zu raten, die mitgelieferte Software zu deinstallieren und vorerst auf die Sicherung per Fingerabdruck zu verzichten. Panik ist allerdings nicht angebracht, da bisher kein Schädling bekannt ist, der das Rootkit ausnutzt. Ein Update der Software durchzuführen, hat laut F-Secure keinen Sinn, da offenbar auch die neueste Version noch über Rootkit-Eigenschaften verfügt. Eine Anfrage von F-Secure mit der Bitte um eine Stellungnahme ließ Sony bislang unbeantwortet.

mak



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.