News
26.11.2012, 16:00 Uhr
Schlummernde Gefahr im Hosensack
Smartphones sind in grösserer Gefahr als der heimische Windows-Rechner. Und: Der beste Schutz ist gratis. Das verrät das Zürcher Informatikunternehmen AdNovum.
1. Fünf unbeaufsichtige Minuten genügen, um Ihr Smartphone zu manipulieren. Das kann jedermann!
2. Kein einziges aktuell angebotenes Virenschutzprogramm für Mobilgeräte ist derzeit sinnvoll.
3. Das Smartphone ist viel gefährdeter als Ihr PC.
4. Android-Geräte sind sicherheitstechnisch aus derzeitiger Sicht anfälliger als Apple-Geräte.
2. Kein einziges aktuell angebotenes Virenschutzprogramm für Mobilgeräte ist derzeit sinnvoll.
3. Das Smartphone ist viel gefährdeter als Ihr PC.
4. Android-Geräte sind sicherheitstechnisch aus derzeitiger Sicht anfälliger als Apple-Geräte.
Das sind die gewonnenen Erkenntnisse einer Live-Hacking-Session, die aktuell beim Zürcher «Software- und Security-Engineering»-Betrieb AdNovum durchgeführt wurde. Innert nur weniger Minuten wurde ein Android-Gerät ohne Passwortschutz so manipuliert, dass der Angreifer bequem alle ein- und ausgehenden SMS via Internet mitlesen konnte.
Aber auch Apple-Geräte sind - theoretisch - offen wie Scheunentore: So knackte AdNovum-Mitarbeiter Aldo Rodenhäuser (Senior IT Consultant) ein iPhone 4 mit installiertem iOS 5 trotz 4-stelligem Passwortschutz - mit einem Jailbreak-Tool, das für jedermann via Internet zugänglich ist.
Aber auch Apple-Geräte sind - theoretisch - offen wie Scheunentore: So knackte AdNovum-Mitarbeiter Aldo Rodenhäuser (Senior IT Consultant) ein iPhone 4 mit installiertem iOS 5 trotz 4-stelligem Passwortschutz - mit einem Jailbreak-Tool, das für jedermann via Internet zugänglich ist.
Die grössten Gefahren
Im Prinzip ist ein Smartphone heute ein vollwertiger PC. Deshalb müsse man mit den gleichen Bedrohungen rechnen. Allerdings sind iPhone und Co. für den Anwender bereits um einiges wichtiger und zentraler als der Rechner zu Hause, denn:
1. Ein Smartphone geht schneller verloren.
2. Ein Smartphone gerät schneller in fremde Hände - wenn auch nur kurzzeitig. Für einen Angriff reichen wenige Minuten aus. Der Besitzer bemerkt nichts von der Manipulation.
3. Smartphones sind Aggregationspunkte für Zugriffe und Informationen.
4. Smartphones haben komplett neue Ökosysteme, deren Weiten und Tiefen noch gar nicht so genau abschätzbar sind (App Store, Daten in der Cloud ...)
5. Auf Ihrem Smartphone haben Sie mittlerweile Ihr halbes Leben verewigt.
2. Ein Smartphone gerät schneller in fremde Hände - wenn auch nur kurzzeitig. Für einen Angriff reichen wenige Minuten aus. Der Besitzer bemerkt nichts von der Manipulation.
3. Smartphones sind Aggregationspunkte für Zugriffe und Informationen.
4. Smartphones haben komplett neue Ökosysteme, deren Weiten und Tiefen noch gar nicht so genau abschätzbar sind (App Store, Daten in der Cloud ...)
5. Auf Ihrem Smartphone haben Sie mittlerweile Ihr halbes Leben verewigt.
Brauche ich einen Virenscanner für mein Mobilgerät?
Die klare Antwort von AdNovum lautet: nein. Kein derzeit angebotenes Virenschutzprogramm bringe wirklich etwas. Eine effektive Antiviren-App sei technisch nicht umsetzbar. Im Prinzip ist zudem nicht die heruntergeladene Malware das Problem, sondern der physische Zugriff. Deshalb sollten Sie Ihr Smartphone keine einzige Minute aus den Augen lassen.
Wie kann ich mein Smartphone schützen?
Das lesen Sie auf der nächsten Seite
Das lesen Sie auf der nächsten Seite
Der effektivste Smartphone-Schutz ist gratis
Der effektivste Smartphone-Schutz ist gratis
1. Lassen Sie Ihr Smartphone nicht unbeaufsichtigt herumliegen.
2. Schützen Sie Ihr Gerät mit einem Zugangs-Code.
3. Tun Sie das möglichst mit einem 6-stelligen alphanumerischen Code (Zahlen und Buchstaben, am besten mit kombinierter Gross-Klein-Schreibung). Um diesen Code zu knacken, dauert es beim iOS-Gerät 8 Jahre (!), beim Android-Gerät 163 Tage. Zum Vergleich: Der vierstellige numerische Standardcode ist beim iOS-Gerät in 18 Minuten geknackt und beim Android-Gerät innerhalb nur einer Minute (!).
2. Schützen Sie Ihr Gerät mit einem Zugangs-Code.
3. Tun Sie das möglichst mit einem 6-stelligen alphanumerischen Code (Zahlen und Buchstaben, am besten mit kombinierter Gross-Klein-Schreibung). Um diesen Code zu knacken, dauert es beim iOS-Gerät 8 Jahre (!), beim Android-Gerät 163 Tage. Zum Vergleich: Der vierstellige numerische Standardcode ist beim iOS-Gerät in 18 Minuten geknackt und beim Android-Gerät innerhalb nur einer Minute (!).
4. Entfernen Sie nicht die Nutzungsbeschränkungen (Jailbreak) Ihres Apple-Gerät, denn damit steigen Sie aus dem an sich sicheren, weil abgeschlossenen Apple-Universum aus.
5. Achten Sie genau darauf, welche Zugriffe eine App möchte: Ist es wirklich nötig, dass eine App eine Erlaubnis für Kontaktdatenzugriff oder SMS-Zugriff hat? Muss eine App wirklich Ihren aktuellen Standort wissen und Zugriff auf Ihren Kalender haben?
6. Schliessen Sie Apps, die aktuell nicht in Verwendung sind.
Die neuste Firmware = der beste Schutz?
Das ist gemäss AdNovum ein Trugschluss. Die neuste Firmware patcht zwar oft Sicherheitslücken, wenn man allerdings ein altes Gerät hat (z. B. ein iPhone 3), können viele Lücken aus technischer Sicht bzw. Hardware-bedingt nicht geschlossen werden. Theoretisch müsste man also stets das neuste Gerät in Kombination mit der neusten Firmware haben. Aber wer hat das schon.
Android versus Apple
Lieber ein iOS-Gerät als ein Android-Smartphone? Rein sicherheitstechnisch (Android vs. iOS 6) betrachtet, sagt AdNovum: ja. Dafür gibt es einige Gründe:
* iOS 6 ermöglicht keine App-Installation aus 3rd-Party-App-Stores. Bei Android-Geräten sind 3rd-Party-Markets erlaubt (= ideal, um Maleware unterzujubeln).
* Eine App aus Apples App Store ist geprüft und muss ein von Apple ausgestelltes Zertifikat haben, sonst läuft sie nicht. Bei Android genügt ein Self-signed-Zertifikat.
* Eine iOS-App wird bei Installation und App-Start geprüft, eine Android-App lediglich bei der Installation.
* Aus den bereits genannten drei Punkten resultiert, dass das Android-Universum mit einem wachsenden Problem namens Malware konfrontiert ist.
* Bei Android gibts gemäss AdNovum aufgrund der Systembeschaffenheit mehr Möglichkeiten, um einen physischen Angriff durchzuführen.
* Apple liefert laufend iOS-Updates - unter anderem, um Lücken zu schliessen. Die Hardware-Anbieter von Android-Geräten sind weniger daran interessiert, System-Updates auszuliefern.
Aber es gibt gemäss AdNovum auch etwas Gutes an Android bzw. Schlechtes an iOS: Das Permission-Handling ist bei Android besser gelöst als bei iOS. Beim Apple-System hat nämlich jede App von Haus aus Zugang zum Internet - ohne Zustimmung des Benutzers. Und: Auch bei iOS-Geräten ist Malware nicht ganz auszuschliessen. Zwar müsse man im Fall einer nicht sauberen App hier nicht mit finanziellem Schaden rechnen, dennoch gäbe es Apps, die z. B. Kontaktdaten verschicken. Zudem sind bei iOS die Konzepte wie auch die Implementierung nicht öffentlich. Man weiss also nicht genau, ob und welche Hintertüren mitimplementiert wurden und wie sicher die jeweiligen Geräte sind.
Noch etwas Positives an Android?
Konzepte und Source Code sind grundsätzlich öffentlich zugänglich. Zudem sei die Software-Sicherheit seit Android 4.1 gemäss AdNovum besser geworden - vor allem im Zusammenhang mit Speicherbereichen.
Kommentare
Es sind keine Kommentare vorhanden.