# taz.de -- Sicherheit bei Smartphones: „Die Netzbetreiber müssen mehr tun“
> Sicherheitsexperte Georg Wicherski spricht im Interview über die
> zunehmende Malware-Gefahr bei Smartphones – und die Frage, wie man sich
> schützen kann.
(IMG) Bild: Von Anfang an ein Sicherheitsrisiko: Smartphones.
taz.de: Herr Wicherski, verschiedenen Studien zufolge wächst die Gefahr,
dass man sich auf Smartphones Datenschädlinge einfängt, derzeit
beträchtlich - auch Spionage-Programme sind auf dem Vormarsch. Sind mobile
Geräte das neue Wildwest für Online-Ganoven und Datensammler?
Georg Wicherski: Grundsätzlich war zu erwarten, dass Kriminelle ihre
Aktivitäten auch auf Smartphones ausweiten, natürlich wurden die ersten
Schädlinge dann auch mit viel Pressewirbel verkündet. Dennoch gibt es immer
noch weit mehr Schädlinge für Desktop-Computer, aber die Öffentlichkeit
scheint sich einfach daran gewöhnt zu haben. Interessanter sind Smartphones
für Angreifer jedoch allemal, denn die Möglichkeit, direkt SMS zu versenden
und Anrufe zu tätigen, erlaubt es durch Premium-Nummern auf direktem Weg,
Gewinne zu erzielen. Außerdem speichern viele Smartphone-Besitzer sorglos
alle ihre Termine, Kontakte und vergleichbare Daten auf dem Gerät.
Was kann ein Datenschädling anstellen, wenn er einmal auf einem Smartphone
installiert wurde?
Alle gängigen Smartphone-Betriebssysteme sehen grundsätzlich eine Isolation
aller Applikationen gegen einander vor. Auch der Schädling läuft in einer
isolierten Umgebung. Damit kann er theoretisch also erstmal nur auf Daten
zugreifen, die allen Applikationen verfügbar sind. Dies schließt aber unter
Android beispielsweise potenziell auch alle gespeicherten Fotos mit ein.
Nutzt der Schädling eine lokale Schwachstelle im Betriebssystem aus, kann
er „Supernutzer“-Privilegien erhalten und damit auf alle Daten zugreifen.
Das ist der gleiche Vorgang, der auch manuell beim sogenannten Jailbreaking
ausgelöst wird.
Auf der RSA-Konferenz haben wir [1][in einer Demonstration] gezeigt, wie
ein Schädling lediglich durch das Besuchen einer präperierten Web-Seite auf
das Telefon gelangen konnte. Durch das Ausnutzen einer lokalen
Schwachstelle ließ sich dann die GPS-Position kontinuierlich verfolgen,
alle Anrufe und SMS mitschneiden und alles unmittelbar auf einen
Überwachsungsserver übertragen. Glücklicherweise sind solche Angriffe nicht
gängig und werden allenfalls in Einzelfällen auf sogenannte High-Value
Targets - Ziele, die sich besonders lohnen - angewandt.
Android-Handys werden von vielen Firmen gebaut. Als eines der Probleme gilt
deshalb die sogenannte Fragmentierung - die Tatsache, dass die Nutzer
unterschiedliche Betriebssystem-Versionen einsetzen und es keine zentrale
Steuerung zu geben scheint, über die Updates verteilt werden, die mögliche
Löcher stopfen. Gibt es hier eine Lösungsmöglichkeit? PCs lassen sich ja
schließlich auch problemlos aktualisieren, obwohl sie von verschiedenen
Herstellern stammen.
Wicherski: Leider liegt das Problem hier nicht nur bei den Herstellern der
Telefone, sondern zusätzlich auch noch bei den Netzbetreibern. Denn jeder
Netzbetreiber ist selber dafür verantwortlich, Android-System-Updates in
seinem Netz auszuliefern - und das für alle verschiedenen Telefone der
verschiedenen Hersteller. Zudem haben die Hersteller nur wenig Interesse an
der Bereitstellung von System-Updates, da sie in erster Linie neue Telefone
verkaufen wollen. Der Unterschied zu der PC-Welt liegt hier darin, dass
nicht ohne weiteres die notwendigen Treiber-Programme zur Unterstützung
eines bestimmten Telefons zu einer Android-Version hinzugefügt werden
können.
Da Android ohne diese speziellen Treiber nicht einmal starten kann, ist es
nicht möglich, das Betriebssystem separat auszuliefern und zu updaten, wie
es in der PC-Welt üblich ist. Dies liegt grundsätzlich an der speziellen
Hardware-Architektur, da bei einem Smartphone eine genaue Abstimmung aller
Komponenten notwendig ist, um eine annehmbare Performance bei langer
Akku-Laufzeit zu garantieren. Es ist also notwendig, den
Smartphone-Herstellern mehr Anreiz für Betriebssystem-Updates zu liefern
und dies als Netzbetreiber auch entsprechend zu betreiben - auch für
Modelle, die der Netzbetreiber selber nicht vertreibt.
Steht Apple mit seinem iPhone besser da? Auf Macs scheint es mittlerweile
zunehmend auch Angriffe zu geben, nachdem es viele Jahre eher ruhig war.
Die Sicherheit von iOS ist wesentlich besser als die Sicherheit von
Android, auch wenn Android aufzuholen scheint. Der entsprechende
herstellerspezifische App-Markt wird bei Apple besser kontrolliert, mehr
generische Abwehrmaßnahmen gegen das Ausnutzen von Schwachstellen sind
vorhanden. Ein mit aktueller Software ausgestattetes und nicht durch
Jailbreaks oder ähnliche Techniken manipuliertes iPhone ist zur Zeit schwer
anzugreifen. Dies liegt auch daran, dass Apple nur wenige
Smartphone-Modelle unterstützen muss und diese daher kontinuierlich
aktualisiert.
Welche konkreten Schritte kann ein Besitzer eines Smartphones einleiten, um
einigermaßen sicher zu sein? Lohnen sich Anti-Viren-Programme schon?
Sowohl Apple als auch Google stellen den Herstellern von
Anti-Virus-Software keine geeigneten Schnittstellen und Privilegien zur
Verfügung, um lokal auf dem Telefon effizient nach Schadsoftware zu suchen.
Lediglich das Erkennen bekannter schädlicher Apps ist so möglich. Daher
versuchen die meisten AV-Hersteller, ihre Produkte durch Zusatz-Features
wie Daten-Backup und das Wiederfinden gestohlener Telefone interessant zu
machen. Geeigneten Schutz bieten Sie aber höchstens gegenüber den bekannten
schädlichen Apps aus den gängigen Markets.
Wie kann man sicherstellen, stets die aktuellste Software-Version seines
Betriebssystems zu nutzen?
Für iPhone-Besitzer gestaltet sich dies recht einfach, man sollte lediglich
keinen Jailbreak vornehmen. Als Android-Benutzer muss man hoffen, dass der
Netzbetreiber für das konkrete Telefon-Modell ein geeignetes Update
verteilt. Fortgeschrittene Android-Benutzer können unter der Gefahr des
Garantieverlusts auch versuchen, aktuellere sogenannte Android-ROMs anderer
Netzbetreiber zu installieren, insofern diese verfügbar sind.
Ansonsten bieten verschiedene Dritt-Anbieter vorgefertigte
Open-Source-ROMs, angepasst auf viele Telefonmodelle, zur Installation an;
am verbreitetsten ist CyanogenMod. Das ist aber wirklich nur etwas für
erfahrene Benutzer und erfordert auf vielen Telefonen einen Jailbreak! Dies
offenbart im übrigen eine interessante Kontroverse: Während auf einem
iPhone ein Jailbreak die Sicherheit in den meisten Szenarien
verschlechtert, ist er auf manchen Android-Telefonen erst notwendig, um die
Sicherheit zu erhöhen.
30 Apr 2012
## LINKS
(DIR) [1] http://www.youtube.com/watch?v=8d7pC9WmQ-U
## AUTOREN
(DIR) Ben Schwan
## TAGS
(DIR) Mobilfunk
## ARTIKEL ZUM THEMA
(DIR) Cyanogenmod veröffentlicht Version 10: Freies System für's Smartphone
Smartphones wird heutzutage viel anvertraut, doch ihre Betriebssysteme sind
meist von Konzernen kontrolliert. Die bekannteste Ausnahme ist da
Cyanogenmod.
(DIR) Apple kontert Google mit eigenem Dienst: Machtkampf um digitale Stadtpläne
Während Apple und Google anfangs kooperierten, sind sie mittlerweile
Rivalen. Jüngstes Wettkampffeld: Apple will Google-Maps für seine Kunden
durch eigene Karten ersetzen.
(DIR) Wissenschaftler über digitales Zeitalter: "Wir sind möglichkeitsblind"
Wissenschaftler Bernhard Pörksen warnt vor dem digitalen Zeitalter und
davor, wie Julian Assange zu enden. Dank Smartphone trage jeder eine
Allzweckwaffe bei sich.
(DIR) „Draw-Something“-Hype flacht ab: Es hat sich ausgemalt
Vor einem Monat begann der Hype um die App „Draw Something“. Nun sinken die
Nutzerzahlen. Eine Abo-Falle könnte dafür mitverantwortlich sein.
(DIR) „Guardian“ will Drittanbieter enttarnen: Wie man die Schnüffler beschnüffelt
Drittanbieter-Cookies und andere Web-Spione sammeln fleißig Daten über
Internetnutzer. Nun will die britische Tageszeitung „Guardian“ die Sammler
enttarnen.
(DIR) Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden
Die Zahl der schädlichen Apps für das mobile Betriebssystem Android steigt
und auch offizielle Apps haben ihre Tücken. Forscher machen nun die Nutzer
zu den Wächtern.
(DIR) Strengerer Datenschutz: Apple macht App-Entwicklern Druck
Es war schon länger angekündigt, nun macht Apple Ernst: Erste Programme,
die auf eine eindeutige Kennung von mobilen Geräten zugreifen, wurden im
App-Store nicht mehr zugelassen.
(DIR) Kampagne für offene Mobilsysteme: „Volle Kontrolle übers Smartphone“
Käufer sollten die Software von Smartphones komplett kontrollieren können,
findet Torsten Grote. Der Sprecher der „Free-Android“-Kampagne über
Befreiung.