Gängige GPS-Tracking-Lösung als Rootkit im System verankert

Laptop-Diebstahlschutz ist selbst ein Risiko

Datum:31.07.2009
Autor(en):Armin Weiler

Im Rahmen der Cybersecurity-Konferenz Black Hat¹ haben Forscher des Unternehmens Core Security² gewarnt, dass eine große Zahl von Notebooks mit einem Rootkit ausgeliefert wird und dadurch einem hohen Sicherheitsrisiko ausgesetzt ist. Dabei ist das Produkt, durch das dieses Risiko entsteht, eigentlich gutartig: Es handelt sich um die GPS-Tracking-Lösung³ des kanadischen Unternehmens Absolute, die ein Wiederfinden gestohlener Geräte ermöglicht. Sie wird laut Absolute-Website von einem Dutzend OEM-Partnern in Notebooks eingesetzt. Laut Alfredo Ortega und Anibal Sacco von Core Security setzt die BIOS-basierte Lösung die Geräte der Gefahr unentdeckbarer Manipulationen aus.

Eigentlich soll der BIOS-Agent Computrace im Diebstahlsfall mit einer Zentrale kommunizieren, um etwa empfindliche Daten zu löschen oder die Position des Geräts zu ermitteln. Dieses System kommt mittlerweile in einer großen Zahl von Notebooks zum Einsatz, unter anderem bei Asus, Dell, Fujitsu, HP und Lenovo. Core Security allerdings bezeichnet die Lösung nun als "Rootkit-Technik, die Millionen mobiler Computer betrifft und die Geräte und ihre Nutzer anfällig für eine potenzielle Kompromittierung und Fernkontrolle durch Angreifer macht."
Auf den Rootkit-Charakter von Cuputrace sind Ortega und Sacco nach eigenen Angaben zufällig aufmerksam geworden. Sie wollten zu Forschungszwecken einen eigenen BIOS-Rootkit auf einem Gerät installieren und haben dabei festgestellt, dass bereits ein solcher im System verankert ist.

Kommunikation könnte umgeleitet werden

Ein wesentliches Problem an Computrace sind den Forschern zufolge massive Mängel im Bereich Authentifizierung. Das mache Manipulationen leicht und das Potenzial für Missbrauch ist laut den Core-Security-Experten groß. Ein Angreifer könnte die Kommunikation der Tracking-Lösung relativ leicht auf einen schädlichen Server umleiten. Speziell bei Computern mit unsignierten BIOS könne den Forschern zufolge durch eine Computrace-Manipulation eine äußerst beständige und gefährliche Form des Rootkits entstehen. Denn Antiviren-Software würde nur den normalen Agenten orten, den sie aber ignoriert - immerhin handelt es sich bei Computrace um eine bekannte und eigentlich gutartige Lösung.
Ein weiteres Problem ist Ortega und Sacco zufolge, dass die Sicherheitsschwächen der Tracking-Lösung das Ausführen beliebigen Codes auf BIOS-Ebene ermögliche. Das Duo empfiehlt digitale Signaturen zur Absicherung von Kommunikation und Software-Code von Computrace, um die Sicherheitsrisiken weitgehend zu eliminieren.

"Diese Arbeit zeigt eine theoretische Gefahr auf, die vielleicht für einzelne, sehr zielgerichtete Angriffe interessant sein könnte", meint G-Data-Sprecher Thorsten Urbanski. Skeptisch ist man, ob es sich wirklich um eine Massenbedrohung handeln könne. Unter anderem sei die Frage, ob die Entwicklung entsprechender Angriffsmethoden nicht für Cyberkriminelle so aufwendig wäre, dass sie unrentabel würde, so Urbanski. Allerdings sei noch eine genauere technische Analyse erforderlich, ehe man die angebliche Rootkit-Bedrohung genauer bewerten könne. "Generell sind Hersteller von BIOS-Systemen aber in der Pflicht, etwaige Sicherheitslücken möglichst schnell zu schließen", betont Urbanski abschließend. (pte) / (bw)

Links im Artikel: