De onderzoekers Derek Brown en Daniel Tijerina, beveiligingsonderzoekers bij de TippingPoint Digital Vaccine Group, hebben 8,000 van dit soort smartphones samen weten te brengen in een experimenteel botnet. Dit hebben ze gedaan door een onschuldig uitziende weersvoorspellingapplicatie te verspreiden met de naam WeatherFist.

Lekker weertje

De App linkt naar de Weather Underground website en biedt lokale en andere weersvoorspellingen. Maar daarnaast zou het programma informatie kunnen verzamelen, zoals GPS coördinaten, wachtwoorden, bestanden, telefoonnummers, cookies en adressen. Daarnaast zou het massa-spam kunnen versturen en toegang kunnen krijgen tot bijvoorbeeld Twitter- en Facebook-accounts.

De App werd aangeboden via SlideME and ModMyI app websites. De App store van Apple en de Android Marketplace hadden te strenge toelatingseisen en daarnaast runnen erkende iPhone Apps bijvoorbeeld in een sandbox, waardoor de apps geen data van een telefoon kunnen halen waar ze geen toestemming voor hebben.

Jailbroken

Hoewel de app in het geval van de iPhone alleen werkt op de jailbroken toestellen, was er voor de weersapplicatie met snode plannen geen jailbroken Android telefoon nodig. De app werkte gewoon op elk toestel. Wel zou je in een Android toestel een setting moeten wijzigen en een beveiligingswaarschuwing moeten negeren om apps van een andere site te halen dan de Marketplace. Daarnaast werken ook Android toestellen met het sandbox principe, behalve als je allerlei permissies geeft aan de app. Ook zijn er al fabrikanten die op hun Android toestellen alleen applicaties toelaten van de Marketplace.

De WeatherFist applicatie ging als een warm croissantje over de toonbank en werd binnen de kortste keren 8,000 keer gedownload. Dat vonden de makers erg verrassend, want als er naast de optie om alle privé informatie te verzamelen daadwerkelijk een kwaadaardige code in de app zou zitten, was dit onopgemerkt gebleven en zouden de onderzoekers nu hele stammen zombies beheren in de vorm van een botnet.

Kwaadaardige versie

Om te bewijzen dat dit echt mogelijk zou zijn, hebben de makers ook een kwaadaardige versie van WeatherFist geschreven die ze alleen op hun eigen smartphones getest hebben. Het doel van de onderzoekers was naar eigen zeggen om aan te tonen hoe makkelijk het is om allerlei informatie te stelen op een relatief nieuw platform zoals smartphones.

Bron: Techworld