Was genau ist eigentlich eine Backdoor?


Im Zuge einer Untersuchung von drei chinesischen Smartphones kam bei der amerikanischen Sicherheitsfirma Duo die Frage auf, wie man eine Backdoor eigentlich definieren soll. Genauer gesagt: Wonach soll man suchen, wenn man in Software nach Schwachstellen fahndet, über die staatliche Stellen oder auch kriminelle Hacker auf Daten und Verbindungsinformationen zugreifen können? Aus diesen Überlegungen entstand eine Liste, welche die verschiedenen Typen von Backdoors definiert.

  • Die wohl am weitesten verbreiteten Software-Hintertüren treten in Form kleiner Programme auf, die einem Kriminellen den Zugang zu einem System öffnen. Damit verschafft er sich einen Fernzugriff in Echtzeit. Solche Hintertüren sind meist ziemlich offensichtlich und für Sicherheitsspezialisten einfach zu entdecken.
  • Auch der zweite Typ tritt recht häufig auf, nämlich die absichtlich eingebauten Hintertüren, mit denen Software-Hersteller Möglichkeiten für eine Fernwartung schaffen. Oft handelt es sich dabei einfach nur um versteckte Benutzerkonten oder Standard-Passwörter.
  • Eine weitere Backdoor öffnet sich durch kleine Code-Schnipsel, die ein Angreifer in den Sourcecode eines Programms einschleust. Sie sind schwer zu entdecken, da sie auf den ersten Blick aussehen wie der echte, legitime Code. Tatsächlich machen sie jedoch den Zugang zu erweiterten Funktionen frei. Der Nachteil für den Angreifer: Wenn die Backdoor entdeckt wird, lässt sich über die Dokumentation zurückverfolgen, wer sie eingebaut hat.

Zero Days freuen den Angreifer

Genau das ist der Vorteil des nächsten Typs, der Zero-Day-Lücke. Hierbei handelt es sich um einen Bug, der von einem Entwickler versehentlich in die Software eingebaut wurde. Erhält ein Angreifer davon Kenntnis, kann er unerkannt in das System eindringen.

Eine weitere Ausformung der Zero-Day-Lücke entsteht durch die Erweiterung einer an und für sich sicheren Software durch zusätzliche Bibliotheken oder Subsysteme. Auch hier nutzt der Angreifer eine Schwachstelle aus, die er nicht selber angelegt hat.

Die nächste Backdoor entsteht, wenn Angreifer die Konfiguration eines Systems ändern können, ohne dabei den Code zu manipulieren. Denkbar ist beispielsweise ein Szenario, bei dem die Angreifer eine starke Verschlüsselung durch eine weniger sichere ersetzen, die sich mit vertretbarem Aufwand knacken lässt.

Der letzte Backdoor-Typ schließlich, den die Experten von Duo beschreiben, öffnet nicht den Zugang zum gesamten System, sondern greift lediglich die privaten, vertraulichen Daten auf einem Gerät ab. Häufig besteht genau darin das Ziel des Angreifers. Erreichen kann er es, indem er etwa die Sicherheits- und Datenschutz-Funktionen des Browsers herabsetzt oder abschaltet. Anschließend ist es ein Leichtes, mit Methoden, die auch von vielen legalen Websites eingesetzt werden, Daten über den Besitzer eines Geräts zu sammeln.

Und was fanden die Sicherheitsspezialisten nun auf den chinesischen Smartphones? Tatsächlich war dort die veraltete Android-Version 4.4 installiert, die mehrere gut dokumentierte Sicherheitslücken enthält. Ein oberflächlicher Review des Sourcecodes zeigte keine auffälligen Veränderungen. Und warum sollte ein Staat, der ohnehin Zugriff auf die Telekommunikations-Infrastruktur hat, sich auch die Mühe machen, eine Backdoor zu entwickeln und sie über Jahre und mehrere Software-Versionen hinweg zu pflegen?

Die Überlegungen der Fachleute zeigen dennoch, dass der Begriff „Backdoor“ längst nicht so eindeutig definiert ist, wie man es annehmen mag.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (1)

  1. Und warum sollte ein Staat, der ohnehin Zugriff auf die Telekommunikations-Infrastruktur hat, sich auch die Mühe machen, eine Backdoor zu entwickeln und sie über Jahre und mehrere Software-Versionen hinweg zu pflegen?

    Eine Möglichkeit wäre natürlich, dass man auch Geräte überwachen möchte welche sich regelmäßig oder ständig außerhalb der eigenen Netzinfrastruktur bewegen.

Skip to main content