 |
# taz.de -- Sicherheit bei Smartphones: „Die Netzbetreiber müssen mehr tun“ |
|
|
|
> Sicherheitsexperte Georg Wicherski spricht im Interview über die |
|
> zunehmende Malware-Gefahr bei Smartphones – und die Frage, wie man sich |
|
> schützen kann. |
|
|
 |
Bild: Von Anfang an ein Sicherheitsrisiko: Smartphones. |
|
|
|
taz.de: Herr Wicherski, verschiedenen Studien zufolge wächst die Gefahr, |
|
dass man sich auf Smartphones Datenschädlinge einfängt, derzeit |
|
beträchtlich - auch Spionage-Programme sind auf dem Vormarsch. Sind mobile |
|
Geräte das neue Wildwest für Online-Ganoven und Datensammler? |
|
|
|
Georg Wicherski: Grundsätzlich war zu erwarten, dass Kriminelle ihre |
|
Aktivitäten auch auf Smartphones ausweiten, natürlich wurden die ersten |
|
Schädlinge dann auch mit viel Pressewirbel verkündet. Dennoch gibt es immer |
|
noch weit mehr Schädlinge für Desktop-Computer, aber die Öffentlichkeit |
|
scheint sich einfach daran gewöhnt zu haben. Interessanter sind Smartphones |
|
für Angreifer jedoch allemal, denn die Möglichkeit, direkt SMS zu versenden |
|
und Anrufe zu tätigen, erlaubt es durch Premium-Nummern auf direktem Weg, |
|
Gewinne zu erzielen. Außerdem speichern viele Smartphone-Besitzer sorglos |
|
alle ihre Termine, Kontakte und vergleichbare Daten auf dem Gerät. |
|
|
|
Was kann ein Datenschädling anstellen, wenn er einmal auf einem Smartphone |
|
installiert wurde? |
|
|
|
Alle gängigen Smartphone-Betriebssysteme sehen grundsätzlich eine Isolation |
|
aller Applikationen gegen einander vor. Auch der Schädling läuft in einer |
|
isolierten Umgebung. Damit kann er theoretisch also erstmal nur auf Daten |
|
zugreifen, die allen Applikationen verfügbar sind. Dies schließt aber unter |
|
Android beispielsweise potenziell auch alle gespeicherten Fotos mit ein. |
|
Nutzt der Schädling eine lokale Schwachstelle im Betriebssystem aus, kann |
|
er „Supernutzer“-Privilegien erhalten und damit auf alle Daten zugreifen. |
|
Das ist der gleiche Vorgang, der auch manuell beim sogenannten Jailbreaking |
|
ausgelöst wird. |
|
|
|
Auf der RSA-Konferenz haben wir [1][in einer Demonstration] gezeigt, wie |
|
ein Schädling lediglich durch das Besuchen einer präperierten Web-Seite auf |
|
das Telefon gelangen konnte. Durch das Ausnutzen einer lokalen |
|
Schwachstelle ließ sich dann die GPS-Position kontinuierlich verfolgen, |
|
alle Anrufe und SMS mitschneiden und alles unmittelbar auf einen |
|
Überwachsungsserver übertragen. Glücklicherweise sind solche Angriffe nicht |
|
gängig und werden allenfalls in Einzelfällen auf sogenannte High-Value |
|
Targets - Ziele, die sich besonders lohnen - angewandt. |
|
|
|
Android-Handys werden von vielen Firmen gebaut. Als eines der Probleme gilt |
|
deshalb die sogenannte Fragmentierung - die Tatsache, dass die Nutzer |
|
unterschiedliche Betriebssystem-Versionen einsetzen und es keine zentrale |
|
Steuerung zu geben scheint, über die Updates verteilt werden, die mögliche |
|
Löcher stopfen. Gibt es hier eine Lösungsmöglichkeit? PCs lassen sich ja |
|
schließlich auch problemlos aktualisieren, obwohl sie von verschiedenen |
|
Herstellern stammen. |
|
|
|
Wicherski: Leider liegt das Problem hier nicht nur bei den Herstellern der |
|
Telefone, sondern zusätzlich auch noch bei den Netzbetreibern. Denn jeder |
|
Netzbetreiber ist selber dafür verantwortlich, Android-System-Updates in |
|
seinem Netz auszuliefern - und das für alle verschiedenen Telefone der |
|
verschiedenen Hersteller. Zudem haben die Hersteller nur wenig Interesse an |
|
der Bereitstellung von System-Updates, da sie in erster Linie neue Telefone |
|
verkaufen wollen. Der Unterschied zu der PC-Welt liegt hier darin, dass |
|
nicht ohne weiteres die notwendigen Treiber-Programme zur Unterstützung |
|
eines bestimmten Telefons zu einer Android-Version hinzugefügt werden |
|
können. |
|
|
|
Da Android ohne diese speziellen Treiber nicht einmal starten kann, ist es |
|
nicht möglich, das Betriebssystem separat auszuliefern und zu updaten, wie |
|
es in der PC-Welt üblich ist. Dies liegt grundsätzlich an der speziellen |
|
Hardware-Architektur, da bei einem Smartphone eine genaue Abstimmung aller |
|
Komponenten notwendig ist, um eine annehmbare Performance bei langer |
|
Akku-Laufzeit zu garantieren. Es ist also notwendig, den |
|
Smartphone-Herstellern mehr Anreiz für Betriebssystem-Updates zu liefern |
|
und dies als Netzbetreiber auch entsprechend zu betreiben - auch für |
|
Modelle, die der Netzbetreiber selber nicht vertreibt. |
|
|
|
Steht Apple mit seinem iPhone besser da? Auf Macs scheint es mittlerweile |
|
zunehmend auch Angriffe zu geben, nachdem es viele Jahre eher ruhig war. |
|
|
|
Die Sicherheit von iOS ist wesentlich besser als die Sicherheit von |
|
Android, auch wenn Android aufzuholen scheint. Der entsprechende |
|
herstellerspezifische App-Markt wird bei Apple besser kontrolliert, mehr |
|
generische Abwehrmaßnahmen gegen das Ausnutzen von Schwachstellen sind |
|
vorhanden. Ein mit aktueller Software ausgestattetes und nicht durch |
|
Jailbreaks oder ähnliche Techniken manipuliertes iPhone ist zur Zeit schwer |
|
anzugreifen. Dies liegt auch daran, dass Apple nur wenige |
|
Smartphone-Modelle unterstützen muss und diese daher kontinuierlich |
|
aktualisiert. |
|
|
|
Welche konkreten Schritte kann ein Besitzer eines Smartphones einleiten, um |
|
einigermaßen sicher zu sein? Lohnen sich Anti-Viren-Programme schon? |
|
|
|
Sowohl Apple als auch Google stellen den Herstellern von |
|
Anti-Virus-Software keine geeigneten Schnittstellen und Privilegien zur |
|
Verfügung, um lokal auf dem Telefon effizient nach Schadsoftware zu suchen. |
|
Lediglich das Erkennen bekannter schädlicher Apps ist so möglich. Daher |
|
versuchen die meisten AV-Hersteller, ihre Produkte durch Zusatz-Features |
|
wie Daten-Backup und das Wiederfinden gestohlener Telefone interessant zu |
|
machen. Geeigneten Schutz bieten Sie aber höchstens gegenüber den bekannten |
|
schädlichen Apps aus den gängigen Markets. |
|
|
|
Wie kann man sicherstellen, stets die aktuellste Software-Version seines |
|
Betriebssystems zu nutzen? |
|
|
|
Für iPhone-Besitzer gestaltet sich dies recht einfach, man sollte lediglich |
|
keinen Jailbreak vornehmen. Als Android-Benutzer muss man hoffen, dass der |
|
Netzbetreiber für das konkrete Telefon-Modell ein geeignetes Update |
|
verteilt. Fortgeschrittene Android-Benutzer können unter der Gefahr des |
|
Garantieverlusts auch versuchen, aktuellere sogenannte Android-ROMs anderer |
|
Netzbetreiber zu installieren, insofern diese verfügbar sind. |
|
|
|
Ansonsten bieten verschiedene Dritt-Anbieter vorgefertigte |
|
Open-Source-ROMs, angepasst auf viele Telefonmodelle, zur Installation an; |
|
am verbreitetsten ist CyanogenMod. Das ist aber wirklich nur etwas für |
|
erfahrene Benutzer und erfordert auf vielen Telefonen einen Jailbreak! Dies |
|
offenbart im übrigen eine interessante Kontroverse: Während auf einem |
|
iPhone ein Jailbreak die Sicherheit in den meisten Szenarien |
|
verschlechtert, ist er auf manchen Android-Telefonen erst notwendig, um die |
|
Sicherheit zu erhöhen. |
|
|
|
30 Apr 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.youtube.com/watch?v=8d7pC9WmQ-U |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Mobilfunk |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Cyanogenmod veröffentlicht Version 10: Freies System für's Smartphone |
|
|
|
Smartphones wird heutzutage viel anvertraut, doch ihre Betriebssysteme sind |
|
meist von Konzernen kontrolliert. Die bekannteste Ausnahme ist da |
|
Cyanogenmod. |
|
|
|
Apple kontert Google mit eigenem Dienst: Machtkampf um digitale Stadtpläne |
|
|
|
Während Apple und Google anfangs kooperierten, sind sie mittlerweile |
|
Rivalen. Jüngstes Wettkampffeld: Apple will Google-Maps für seine Kunden |
|
durch eigene Karten ersetzen. |
|
|
|
Wissenschaftler über digitales Zeitalter: "Wir sind möglichkeitsblind" |
|
|
|
Wissenschaftler Bernhard Pörksen warnt vor dem digitalen Zeitalter und |
|
davor, wie Julian Assange zu enden. Dank Smartphone trage jeder eine |
|
Allzweckwaffe bei sich. |
|
|
|
„Draw-Something“-Hype flacht ab: Es hat sich ausgemalt |
|
|
|
Vor einem Monat begann der Hype um die App „Draw Something“. Nun sinken die |
|
Nutzerzahlen. Eine Abo-Falle könnte dafür mitverantwortlich sein. |
|
|
|
„Guardian“ will Drittanbieter enttarnen: Wie man die Schnüffler beschnüff… |
|
|
|
Drittanbieter-Cookies und andere Web-Spione sammeln fleißig Daten über |
|
Internetnutzer. Nun will die britische Tageszeitung „Guardian“ die Sammler |
|
enttarnen. |
|
|
|
Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden |
|
|
|
Die Zahl der schädlichen Apps für das mobile Betriebssystem Android steigt |
|
und auch offizielle Apps haben ihre Tücken. Forscher machen nun die Nutzer |
|
zu den Wächtern. |
|
|
|
Strengerer Datenschutz: Apple macht App-Entwicklern Druck |
|
|
|
Es war schon länger angekündigt, nun macht Apple Ernst: Erste Programme, |
|
die auf eine eindeutige Kennung von mobilen Geräten zugreifen, wurden im |
|
App-Store nicht mehr zugelassen. |
|
|
|
Kampagne für offene Mobilsysteme: „Volle Kontrolle übers Smartphone“ |
|
|
|
Käufer sollten die Software von Smartphones komplett kontrollieren können, |
|
findet Torsten Grote. Der Sprecher der „Free-Android“-Kampagne über |
|
Befreiung. |
