Sicherheit bei Smartphones

„Die Netzbetreiber müssen mehr tun“

Sicherheitsexperte Georg Wicherski spricht im Interview über die zunehmende Malware-Gefahr bei Smartphones – und die Frage, wie man sich schützen kann.

Von Anfang an ein Sicherheitsrisiko: Smartphones. Bild: dapd

taz.de: Herr Wicherski, verschiedenen Studien zufolge wächst die Gefahr, dass man sich auf Smartphones Datenschädlinge einfängt, derzeit beträchtlich - auch Spionage-Programme sind auf dem Vormarsch. Sind mobile Geräte das neue Wildwest für Online-Ganoven und Datensammler?

Georg Wicherski: Grundsätzlich war zu erwarten, dass Kriminelle ihre Aktivitäten auch auf Smartphones ausweiten, natürlich wurden die ersten Schädlinge dann auch mit viel Pressewirbel verkündet. Dennoch gibt es immer noch weit mehr Schädlinge für Desktop-Computer, aber die Öffentlichkeit scheint sich einfach daran gewöhnt zu haben. Interessanter sind Smartphones für Angreifer jedoch allemal, denn die Möglichkeit, direkt SMS zu versenden und Anrufe zu tätigen, erlaubt es durch Premium-Nummern auf direktem Weg, Gewinne zu erzielen. Außerdem speichern viele Smartphone-Besitzer sorglos alle ihre Termine, Kontakte und vergleichbare Daten auf dem Gerät.

Was kann ein Datenschädling anstellen, wenn er einmal auf einem Smartphone installiert wurde?

Alle gängigen Smartphone-Betriebssysteme sehen grundsätzlich eine Isolation aller Applikationen gegen einander vor. Auch der Schädling läuft in einer isolierten Umgebung. Damit kann er theoretisch also erstmal nur auf Daten zugreifen, die allen Applikationen verfügbar sind. Dies schließt aber unter Android beispielsweise potenziell auch alle gespeicherten Fotos mit ein. Nutzt der Schädling eine lokale Schwachstelle im Betriebssystem aus, kann er „Supernutzer“-Privilegien erhalten und damit auf alle Daten zugreifen. Das ist der gleiche Vorgang, der auch manuell beim sogenannten Jailbreaking ausgelöst wird.

Auf der RSA-Konferenz haben wir in einer Demonstration gezeigt, wie ein Schädling lediglich durch das Besuchen einer präperierten Web-Seite auf das Telefon gelangen konnte. Durch das Ausnutzen einer lokalen Schwachstelle ließ sich dann die GPS-Position kontinuierlich verfolgen, alle Anrufe und SMS mitschneiden und alles unmittelbar auf einen Überwachsungsserver übertragen. Glücklicherweise sind solche Angriffe nicht gängig und werden allenfalls in Einzelfällen auf sogenannte High-Value Targets - Ziele, die sich besonders lohnen - angewandt.

Android-Handys werden von vielen Firmen gebaut. Als eines der Probleme gilt deshalb die sogenannte Fragmentierung - die Tatsache, dass die Nutzer unterschiedliche Betriebssystem-Versionen einsetzen und es keine zentrale Steuerung zu geben scheint, über die Updates verteilt werden, die mögliche Löcher stopfen. Gibt es hier eine Lösungsmöglichkeit? PCs lassen sich ja schließlich auch problemlos aktualisieren, obwohl sie von verschiedenen Herstellern stammen.

Wicherski: Leider liegt das Problem hier nicht nur bei den Herstellern der Telefone, sondern zusätzlich auch noch bei den Netzbetreibern. Denn jeder Netzbetreiber ist selber dafür verantwortlich, Android-System-Updates in seinem Netz auszuliefern - und das für alle verschiedenen Telefone der verschiedenen Hersteller. Zudem haben die Hersteller nur wenig Interesse an der Bereitstellung von System-Updates, da sie in erster Linie neue Telefone verkaufen wollen. Der Unterschied zu der PC-Welt liegt hier darin, dass nicht ohne weiteres die notwendigen Treiber-Programme zur Unterstützung eines bestimmten Telefons zu einer Android-Version hinzugefügt werden können.

hat an der RWTH Aachen Informatik studiert und arbeitete als Virus-Analyst und Security Researcher bei den Anti-Virus-Firmen Kaspersky Labs und McAfee. Derzeit arbeitet er beim Sicherheits-Start-up Crowdstrike in den USA.

Da Android ohne diese speziellen Treiber nicht einmal starten kann, ist es nicht möglich, das Betriebssystem separat auszuliefern und zu updaten, wie es in der PC-Welt üblich ist. Dies liegt grundsätzlich an der speziellen Hardware-Architektur, da bei einem Smartphone eine genaue Abstimmung aller Komponenten notwendig ist, um eine annehmbare Performance bei langer Akku-Laufzeit zu garantieren. Es ist also notwendig, den Smartphone-Herstellern mehr Anreiz für Betriebssystem-Updates zu liefern und dies als Netzbetreiber auch entsprechend zu betreiben - auch für Modelle, die der Netzbetreiber selber nicht vertreibt.

Steht Apple mit seinem iPhone besser da? Auf Macs scheint es mittlerweile zunehmend auch Angriffe zu geben, nachdem es viele Jahre eher ruhig war.

Die Sicherheit von iOS ist wesentlich besser als die Sicherheit von Android, auch wenn Android aufzuholen scheint. Der entsprechende herstellerspezifische App-Markt wird bei Apple besser kontrolliert, mehr generische Abwehrmaßnahmen gegen das Ausnutzen von Schwachstellen sind vorhanden. Ein mit aktueller Software ausgestattetes und nicht durch Jailbreaks oder ähnliche Techniken manipuliertes iPhone ist zur Zeit schwer anzugreifen. Dies liegt auch daran, dass Apple nur wenige Smartphone-Modelle unterstützen muss und diese daher kontinuierlich aktualisiert.

Welche konkreten Schritte kann ein Besitzer eines Smartphones einleiten, um einigermaßen sicher zu sein? Lohnen sich Anti-Viren-Programme schon?

Sowohl Apple als auch Google stellen den Herstellern von Anti-Virus-Software keine geeigneten Schnittstellen und Privilegien zur Verfügung, um lokal auf dem Telefon effizient nach Schadsoftware zu suchen. Lediglich das Erkennen bekannter schädlicher Apps ist so möglich. Daher versuchen die meisten AV-Hersteller, ihre Produkte durch Zusatz-Features wie Daten-Backup und das Wiederfinden gestohlener Telefone interessant zu machen. Geeigneten Schutz bieten Sie aber höchstens gegenüber den bekannten schädlichen Apps aus den gängigen Markets.

Wie kann man sicherstellen, stets die aktuellste Software-Version seines Betriebssystems zu nutzen?

Für iPhone-Besitzer gestaltet sich dies recht einfach, man sollte lediglich keinen Jailbreak vornehmen. Als Android-Benutzer muss man hoffen, dass der Netzbetreiber für das konkrete Telefon-Modell ein geeignetes Update verteilt. Fortgeschrittene Android-Benutzer können unter der Gefahr des Garantieverlusts auch versuchen, aktuellere sogenannte Android-ROMs anderer Netzbetreiber zu installieren, insofern diese verfügbar sind.

Ansonsten bieten verschiedene Dritt-Anbieter vorgefertigte Open-Source-ROMs, angepasst auf viele Telefonmodelle, zur Installation an; am verbreitetsten ist CyanogenMod. Das ist aber wirklich nur etwas für erfahrene Benutzer und erfordert auf vielen Telefonen einen Jailbreak! Dies offenbart im übrigen eine interessante Kontroverse: Während auf einem iPhone ein Jailbreak die Sicherheit in den meisten Szenarien verschlechtert, ist er auf manchen Android-Telefonen erst notwendig, um die Sicherheit zu erhöhen.

Einmal zahlen
.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben