Angriffsziel Handy – wie verwundbar sind Mobiltelefone wirklich?
Die Zeit als Mobiltelefone hauptsächlich zum Telefonieren benutzt wurden, ist bereits seit Längerem vorbei. Heute sind Handys Hilfsmittel zur Verwaltung des eigenen Lebens. Dementsprechend sind Handys technisch gesehen spätestens ab der Gerätegeneration der sog. „Smartphones" schlicht vollwertige Computer mit funktionell reduzierten Ein- und Ausgabemöglichkeiten. Das Smart im Phone steht dabei für die erweiterten und verbesserten Einsatzmöglichkeiten dank flexibler Technologie.
Jeder Computer ist aber programmierbar, d.h. er kann Anweisungen in Programmform ausführen und tun, was ihm vorgegeben wird. Jeder Computer kann dementsprechend so programmiert werden, dass er Schadcode ausführt und den nichtsahnenden Benutzer „hintergeht". Viren, Trojaner und co. gibt es auch für Smartphones.
Lange Zeit aber war Schadsoftware für Mobiltelefone ein eher akademisches Thema. Die grundsätzliche Machbarkeit („proof of concept") war nachgewiesen, trotzdem spielte das Thema in der Praxis kaum eine Rolle. Denn jeder Handyhersteller gab seinem Gerät ein eigenes Betriebssystem und eigene herstellerspezifische Software mit. Das machte es aufwendig und zugleich uninteressant, für jedes Handy eigene Varianten von Schadsoftware zu entwickeln. Außerdem funktionierten gefundene Schwachstellen und Sicherheitslücken der Software nur eben auf dem jeweiligen Gerätetyp. Zudem war das Spektrum an Möglichkeiten der so gehackten Geräte überschaubar.
Heute stecken in einem Smartphone oftmals mehr persönliche Daten als in einer Geldbörse voller Ausweise und Kreditkarten. Man kann es dazu benutzen, um auf Kosten des Simkartenbesitzers Daten zu übermitteln oder kostenpflichtige Dienstleistungen in Anspruch zu nehmen. Oder ihm Verträge über Abzockaboabrufseiten unterzujubeln. So berichtet z.B. die aktuelle ct‘ über Abofallen in Smartphone-Apps, die durch das ahnungslose Berühren von Werbeeinblendungen ausgelöst werden. Ein Vorgang der sich ebenfalls per Schadsoftware automatisieren lässt.
Und heute basieren auch nahezu alle aktuellen Smartphones auf einer von nur wenigen Betriebssystemplattformen. Apples iOS, das quelloffene Android-System von Google, das ebenfalls quelloffene MeeGo sowie (mit abnehmender Bedeutung) Symbian und Windows Mobile. Für jedes der Betriebsysteme gibt es zahlreiche funktionell sehr ähnliche Geräte mit im Wesentlichen gleichartigen Systeminterna und Schwachstellen. Auch werden zunehmend herstellerübergreifende Standards für Inhalte wie Flash und Java eingesetzt.
In Summe nimmt so die Attraktivität der Smartphone-Welt für Schadcodeautoren rasch zu, da eine Version eines Trojaners auf vielen Geräten lauffähig ist. So sind z.B. für das aktuelle Edelphone von Apple sowie dessen „großen Bruder" das i-Pad gleich mehrere Sicherheitslücken aktenkundig, vor denen etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits warnt.
Das lässt die Bedeutung von Virenschutzsoftware für Handys zunehmen. Noch wichtiger aber ist die bewusste und überlegte Nutzung der Geräte. So muss ein Handy im Normalfall keine Bluetooth-Verbindung offen halten (kann man abschalten) – es wird dadurch aber für Mobilfunkhacker leicht aus der Entfernung identifizierbar. Und wer seinem i-Phone eine neue App spendiert (d.h. aus dem App-Store im Internet runterlädt), sollte sich im Anschluss daran fragen, ob z.B. wirklich alle angeforderten Rechte für eine einwandfreie Funktion erforderlich sind. Nicht jede Spiel-App benötigt Vollzugriff auf alle privaten Daten im Gerät oder die Möglichkeit im Hintergrund Datentransfers von und nach sonstwohin abzuwickeln. Passen angeforderte Rechte nicht zum eigentlichen Verwendungszweck der App sollte man ruhig auch mal beim Hersteller anfragen. Unbefriedigende oder ausweichende Antworten sollten zu einem Aussortieren der Software führen.
Ein eigenes Thema wäre zudem der Schutz der Daten auf verloren gegangenen oder gestohlenen Geräten. Auch hierfür bilden sich am Markt zunehmend Lösungen in Form spezieller Software heraus. Schließlich kann man ein Smartphone durchaus auch aus der Ferne orten oder dazu bringen, sich zu sperren und gespeicherte Daten zu verschlüsseln oder zu löschen.
Auch sollte man sich bezgl. Neuigkeiten zum Betriebssystem und der Software des verwendeten Smartphones auf den Laufenden halten. Das Thema Handyviren und Smartphonetrojaner ist erst noch im Kommen. Die Berichterstattung in den Medien dürfte dazu in den nächsten Monaten deutlich zunehmen, wenn sich auch Tablet-PCs basierend auf Smartphone-Plattformen weiter ausbreiten.
Viele Smartphone-Nutzer, sind bisher zwar beim Arbeiten am PC halbwegs sicherheitssensibel, achten auf den Einsatz aktueller Software und Patches für ihren PC, setzen Virenschutz und Firewall ein oder arbeiten gleich mit einer gehärteten Linux-Distribution. Aber ihr Handy benutzen sie wie einen Haarfön: Einschalten und loslegen ohne weitere Hintergedanken. Ist doch die Technik praktisch kinderleicht, wartungsfrei und ausfallsicher gestaltet. Das wird sich ändern (müssen). Spätestens wen Handyviren in größerem Umfang damit beginnen kostenpflichtige Mehrwertdienste anzurufen (wie zu Zeiten des Einwahlinternets im Gebührentakt die Dialerprogramme), Abofallen auszulösen, wichtige Daten zu stehlen oder das Gerät gleich unbrauchbar zu machen, bis man es mit Hilfe eines vom Virenautor gegen „Lösegeld" zu kaufenden Entsperrcodes wieder aktiviert (sog. „Ransomware").
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Koordinator und Spezialist für Softwarequalität.
Kontakt: http://www.guidostrunck.de/oder per Mail: Guido.Strunck@gmx.net
Keine Kommentare vorhanden