Modem-Befehle aus den 80ern: Android droht Gefahr durch At-Command

Geräte mit Android-Betriebssystem sehen sich einmal mehr einem um­fassenden Angriffsszenario ausgesetzt. Mit sogenannten At-Commands können die Modems der Geräte gesteuert werden, in einer Studie haben jetzt Forscher erst einmal ermittelt, wie viele dieser Befehle überhaupt verfügbar und anwendbar sind.
Infografik: Sicherheitsrisiko Betriebssystem

Alte Modem-Befehle machen Probleme

Schon seit den frühen 80er Jahren wird der At-Befehlssatz zum Konfigurieren und Parametrieren von Modems genutzt. Die zum Industriestandard aufgestiegene Technik kommt auch heute noch in den Modems von Smartphones zum Einsatz und hatte schon in der Vergangenheit für einige Sicherheitsprobleme gesorgt. Jetzt hat erstmals die Universität Florida zusammen mit einem Forschungsteam von Samsung eine systematische Analyse von At-Befehlen vorgenommen und dabei einige Sicherheitslücken entdeckt.

Das Team hatte für seine Untersuchung für Geräte von elf Herstellern mehr als 2000 Firmware-Versionen unter die Lupe genommen und dabei ungefähr 3500 At-Befehle dokumentiert. Das dabei deutlich zu erkennende Problem: Die Mehrzahl dieser Befehle wurden niemals standardisiert geschweige denn von den Herstellern dokumentiert. Eine Übersicht der Erkenntnisse der Forscher liefern diese in ihrem Papier, das auf der Usenix-Sicherheits-Konferenz vorgestellt worden war.

Genaue Analyse zeigt Probleme

An ihre Analyse von bisher weitgehend unbekannten At-Befehlen schließen die Forscher noch eine weitere Untersuchung an, die sich auf spezielle Modelle konzentriert. Demnach lassen sich viele der At-Commands je nach Gerät und Hersteller über die USB-Schnittstelle der Smartphones verwenden. Unter Umständen ist es dabei möglich, bei diesem Vorgang das Android-System und seine Sicherheitsfunktionen einfach komplett zu umgehen. Wie das Team in seinen Tests feststellt, ist das standardmäßig bei Geräten von LG und Samsung der Fall.

Angreifern ist es hier so sehr leicht möglich Anrufe zu tätigen, Datenverbindungen aufzubauen, eine Rücksetzung der Firmware auszulösen oder diese auch mit neuen Abbildern zu ersetzen. Die Befehle machen es auch möglich, Informationen wie Seriennummern von Geräten auszulesen. In einem Fall war es dem Team laut Golem sogar möglich, den USB-Debug-Modus zu aktivieren und mit einem At-Befehl die Display-Sperre zu deaktivieren.

Das Team will alle aufgefundenen Sicherheitslücken an die betroffenen Hersteller gemeldet haben, laut Aussage seien diese auch bereits beseitigt. Allerdings betonen die Forscher, dass ein entsprechender Fehler bereits vor zwei Jahren im S7 Edge behoben worden war. Beim Samsung Galaxy S8+ war dieser aber erneut aufgetreten - Hersteller werden hier also vermutlich in regelmäßigen Abständen nachbessern müssen.

Download NoxPlayer - Android-Emulator für Windows Android, Sicherheitslücke, Rowhammer, RAMpage Vrije Universiteit Amsterdam