Smartphone-Sicherheit – Smartphone-Lücken selbst stopfen

In vielen Smartphones verstecken sich gefährliche Sicherheitslücken, nicht alle werden von den Herstellern geschlossen. Wir geben Hilfe zur Selbsthilfe

  • Gravierende Sicherheitslücke bei Android können Sie selbst schließen.
  • Auch bei Apples iOS ist Vorsicht geboten.
  • Microsoft-Lücken werden kaum genutzt.

In mehr als der Hälfte aller Android-Geräte klafft eine gravierende Sicherheitslücke. Sie ermöglicht es Hackern unter anderem, E-Mails mitzulesen oder Mobiltelefone mit Googles Betriebssystem sogar fernzusteuern. In Deutschland sind rund 18 Millionen Smartphone-Nutzer von diesem Sicherheitsproblem betroffen.

Und das Schlimmste: Sie werden von Google und den meisten Geräteherstellern im Stich gelassen. Die gefährliche Schwachstelle in Android wird durch WebView verursacht, das in den Versionen 4.3 und älter zum Einsatz kommt. Zahlreiche Apps sowie der Android-Werksbrowser nutzen WebView, um Webseiten oder Werbebanner anzuzeigen.

Die Schnittstelle ist jedoch anfällig für das sogenannte Universal Cross Site Scripting: Eine manipulierte Webseite könnte so etwa die E-Mails des Users mitlesen, wenn dieser bei einem Webmailer eingeloggt ist. Dazu muss er nur auf die Seite des Angreifers surfen. Der Sicherheitsexperte Tod Beardsley hat zudem festgestellt, dass ein Hacker über die Lücke auch vollen Zugriff auf das Gerät bekommen und beispielsweise das Mikrofon oder die Kamera heimlich einschalten könnte. Die Sicherheitslücke, die sich immerhin in knapp 60 Prozent aller aktiven Android-Geräte befindet, lässt sich zwar beheben oder umgehen, aber von Google können die User diesbezüglich keine Hilfe erwarten.

So schützen Sie ihr Smartphone vor dem BKA-Trojaner

Der Konzern argumentiert, man habe das Problem in den Android-Versionen 4.4 und 5.0 behoben und sieht seine Schuldigkeit damit getan. Doch viele ältere Geräte werden nicht mit Updates auf diese Versionen versorgt – auch weil die Hersteller nicht mitziehen. Sie verkaufen lieber neue Smartphones, als alte Geräte mit Updates zu versorgen. Deshalb muss jeder selbst tätig werden. Auch im oft als virenfrei beschriebenen iOS verbergen sich Lücken. Die Sicherheitslage ist zwar nicht so bedenklich wie bei Googles mobilem Betriebssystem, doch auch hier können Nutzer selbst einiges zu ihrer Sicherheit beitragen. Wir geben Hilfe zur Selbsthilfe.

Browser austauschen

Ob Sie beim Surfen mit Ihrem Smartphone gefährdet sind, hängt neben der Version Ihres Betriebssystems auch davon ab, welchen Browser Sie verwenden. In allen Android-Versionen bis 4.3 nutzt der Werksbrowser das lückenhafte WebView, um Seiten darzustellen – und öffnet damit Hackern Tür und Tor.

1 Android-Version checken

Zunächst sollten Sie überprüfen, ob eine der gefährdeten Android- Versionen auf Ihrem Smartphone installiert ist. Unsicher sind alle Versionen von Android 2.2 alias Froyo bis einschließlich 4.3 alias Jelly Bean. In ihnen kommt die anfällige WebView-Komponente WebKit zum Einsatz, auf die unter anderem der Android-Werksbrowser zurückgreift. Erst ab Android 4.4 ist die sichere WebView-Variante Blink verbaut, die Engine des Chrome-Browsers. Sie sollten also auf keinen Fall mit dem Werksbrowser surfen, wenn Sie eine Android-Version bis 4.3 verwenden. Falls Sie nicht auswendig wissen, welche Version auf Ihrem Gerät installiert ist, wechseln Sie in die Systemeinstellungen und tippen auf »Über das Telefon« . Sollte unter dem Eintrag »Android-Version »4.4« oder »5.0« stehen, können. Sie hier zu lesen aufhören: Sie sind sicher. In allen anderen Fällen sollten Sie weiter unserer Anleitung folgen.

2 Hersteller-Update überprüfen

Als Nächstes sollten Sie überprüfen, ob Ihr Gerätehersteller ein Update auf eine sichere Android-Version anbietet. Bleiben Sie dazu im Menü »Über das Telefon« und tippen Sie auf »Online-Aktualisierung «. Sollte das Smartphone keine Aktualisierung finden oder eine Version unter 4.4 als aktuellstes Update verfügbar sein, bleiben Ihnen zwei Optionen, um Ihr System abzusichern: Entweder Sie installieren einen alternativen Browser oder Sie aktualisieren Ihr Gerät manuell mit einem alternativen Betriebssystem. Letzteres ist zwar sicherer, weil es das Problem löst und nicht nur umgeht, aber nicht trivial und für

Anfänger eher ungeeignet. Leichter ist es in jedem Fall, einen Browser zu verwenden, der nicht für die eingangs genannten Sicherheitslücken anfällig ist.

3 Alternativen Browser installieren

Im Prinzip eignet sich jeder Browser mit eigener Engine zur Umgehung der WebView-Lücke. Dazu gehören unter anderem Chrome, Firefox, Opera und Dolphin. Für Chrome gibt es jedoch eine Einschränkung: Google stellt für den Browser keine Updates mehr bereit, wenn er auf Android 4.0.4 oder noch älteren Systemen läuft. Auch Sicherheitsupdates gibt es dann nicht mehr. Wir empfehlen deshalb Firefox, da dieser Browser regelmäßig aktualisiert wird. Installieren können Sie Firefox wie andere Apps über den Google Play Store. Nach der Installation müssen Sie den neuen Browser als Standard definieren, damit Webinhalte künftig immer damit angezeigt werden. Öffnen Sie dazu einen Link, zum Beispiel aus einer E-Mail, setzen Sie im Fenster »Aktion durchführen mit« den Haken neben »Immer für diese Aktion verwenden« und tippen Sie dann auf das Icon des Browsers. Sollte sich statt des Dialogfensters ein Browser öffnen, lesen Sie Schritt 4.

4 Selbst updaten

Wer einen sicheren Browser nutzt, kann zwar die gravierendsten Probleme umgehen, die durch die WebView-Lücke entstehen. Das Problem, dass Werbebanner in Apps dadurch zum potenziellen Einfallstor für Angreifer werden, wir jedoch nicht gelöst, denn die Lücke selbst bleibt bestehen. Sie verschwindet erst durch das Update des Betriebssystems auf Android 4.4 oder höher. Stellt ein Gerätehersteller kein offizielles Update bereit, bleibt noch die Möglichkeit, ein alternatives Android-System – eine sogenanntes Custom-ROM (CR) – auf dem Gerät zu installieren.

Beim Rooten ist Vorsicht geboten. Da CRs permanent von der Entwickler-Community weiterentwickelt werden, sind sie quasi immer auf dem neuesten Stand. Die Installation einer alternativen Android-Version ist jedoch keinesfalls trivial: Der Nutzer braucht dazu volle Administratoren-, also Root-Rechte für sein Gerät. Die Hersteller räumen ihren Kunden diese Rechte jedoch nicht ein – aus gutem Grund: Ein gerootetes Gerät kann von Grund auf modifiziert werden, was im schlimmsten Fall dazu führt, dass das Smartphone oder Tablet nicht mehr funktioniert. Aus diesem Grund verlieren gerootete Geräte auch die Herstellergarantie. In manchen Fällen, wie der WebView-Lücke, bleibt dem Nutzer jedoch keine andere Möglichkeit. Die größte Hürde dabei: Je nach Hersteller und Gerät unterscheiden sich die Rootvorgänge voneinander. Manche Hersteller wie HTC und Sony erleichtern es der Entwickler- Community, andere wie Samsung erschweren das Prozedere enorm, was den Einsatz von Spezialsoftware wie Odin nötig macht. Entwicklerforen bieten Rooting-Hilfe Holen Sie sich am besten Rat in einem Entwicklerforum wie androidhilfe.de oder xda-developers.com. Hier finden sich für die meisten Geräte aktuelle Schritt-für-Schritt-Anleitungen.

Hilfreiche Software wie Rootkits und Backup-Tools finden Sie auf unserer Heft-DVD. Hat man einmal vollen Zugriff, muss im Anschluss eine Custom- Recovery-Software installiert werden, über die letztendlich das CR aufgespielt wird. Aber Vorsicht: Nicht jedes ROM funktioniert mit jeder Recovery. Lesen Sie am besten auch hier in den entsprechenden Foren nach. Da das Gerät bei der Installation eines CRs – oft auch schon beim Rooten – auf den Werkszustand zurückgesetzt wird, sollte man davor unbedingt ein Backup aller wichtigen Daten vornehmen. In der Regel müssen die meisten Schritte bis zur vollständigen Installation eines CRs von Hand durchgeführt werden. Das ist oft langwierig und kompliziert.

 

Für die CR CyanogenMod gibt es jedoch einen Installer, der alle notwendigen Schritte automatisch ausführt – quasi ein Rootkit für jedermann. Das Problem: Der Installer funktioniert nur bei Smartphones aus der Galaxy-Reihe, den Nexus-Geräten und dem HTC One. Wer ein anderes Modell besitzt, muss sich unter wiki. cyanogenmod.org die Installationsanleitung dafür besorgen. Der CyanogenMod empfiehlt sich wegen seiner Benutzerfreundlichkeit besonders für User, die zum ersten Mal ein CR installieren.

iOS-Apps lesen mit

Apple möchte Nutzer gerne glauben machen, dass sein mobiles Betriebssystem iOS keine Sicherheitsrisiken birgt. Deshalb verbannte der iPhone-Hersteller im März alle Antiviren-Apps aus dem App- Store. Begründung: Solche Apps könnten User zu der Vermutung drängen, es gäbe Viren für iOS. Da Apple Anwendungen viel strenger als Google prüft, bevor sie in den App Store gelangen, gibt es zwar fast keine schädlichen Apps für iPhone und iPad. Doch frei von Fehlern ist iOS keineswegs: Mit dem Update auf die neueste Version 8.3 veröffentlichte Apple eine Liste mit knapp 60 Sicherheitslücken, die darin geschlossen wurden – darunter Bugs in der Browser-Engine WebKit, die Angriffe per Remote Code Execution ermöglichen (siehe rechts). Anders als Google verteilt Apple Updates immerhin an die meisten Geräte – auch an ältere: iOS 8.3 läuft auf allen iPhones bis zurück zum dreieinhalb Jahre alten 4S.

Das bedeutet aber auch: Wer kein Update mehr bekommt, muss mit den Sicherheitslücken leben, oder sich ein neues Modell kaufen. Es ist zwar möglich, ein iPhone zu rooten – bei Apple-Geräten wird dieser Vorgang Jailbreak genannt. Das ermöglicht es aber lediglich, Apps zu installieren, die nicht über den offiziellen Store vertrieben werden. Weil solche Apps jedoch nicht von Apple überprüft werden, ist gerade hier die Gefahr groß, sich eine gefährliche Anwendung auf das Telefon zu holen. Doch auch legitime Apps können ein Risiko darstellen, wie der iOS-Entwickler Craig Hockenberry herausgefunden hat. Ähnlich wie bei Android macht auch bei iOS WebView Probleme, eine Systemkomponente, über die Apps Webinhalte anzeigen. Apple nutzt jedoch eine weniger gefährdete Version der dahinterliegenden Engine WebKit als Google. Bei der Darstellung von Webseiten erhalten Apps über WebView Zugriff auf Formulardaten wie Benutzername und Passwort und können diese theoretisch auch weitergeben. Hockenberry empfiehlt deshalb, sensible Daten nur in Safari einzugeben.

Windows mobil sicher

Zur Sicherheit bei Windows Phone gibt es im Grunde wenig zu sagen. Nur so viel: Bislang bekannte Lücken werden praktisch nicht ausgenutzt. Der Hauptgrund dafür ist die geringe Verbreitung des Betriebssystems: In Deutschland kommt Windows Phone nur auf einen Marktanteil von knapp 2,5 Prozent, weltweit noch weniger. Das macht dieses System für Hacker schlichtweg uninteressant. Ein anderer Grund liegt in den hohen Sicherheitsauflagen, die an Anwendungen gestellt werden: „Microsoft kontrolliert Apps sogar strenger als Apple“, erklärt Sicherheitsexperte Mike Morgenstern von AV-Test. Hinzu kommt, dass anders als auf dem Desktop Prozesse bei Windows Phone sehr eingeschränkt laufen: „Auch wenn jemand Zugriff auf eine App bekäme, könnte er noch lange nicht das System selbst angreifen“, so Morgenstern. Da Microsoft seine Mobilgeräte zudem regelmäßig mit Updates versorgt, ist Windows Phone für sicherheitsbewusste Smartphone-Nutzer eine gute Wahl.

Original-Artikel:

www.focus.de/digital

Bericht: IT-Experten der Bundesregierung warnen vor Windows 8

Nach Angaben von Zeit Online geht aus internen Dokumenten des BSI hervor, dass IT-Experten des Bundeswirtschaftsministerium, Bundesverwaltung und des BSI vor dem Einsatz von Windows 8 und der damit verbundenen Technologie Trusted Plattform Module (TPM), warnen.

Mit Trusted Computing biete Microsoft eine potentielle Hintertür auf das System. Und über Microsoft könne auch beispielsweise der US-Geheimdienst NSA Zugang zu einem Behördenrechner bekommen. Mit Rechnern, auf denen Windows 8 vorinstalliert ist, falle zudem die Möglichkeit weg, TPM zu deaktivieren. Die Trusted Computing Group, die ausschließlich aus US-Unternehmen besteht, arbeitet derzeit an der Version 2.0 von TPM.

Weiter zitiert Zeit Online aus einem Papier des Wirtschaftsministerium von Anfang 2012: “Durch den Verlust der vollen Oberhoheit über Informationstechnik” seien “die Sicherheitsziele ‘Vertraulichkeit’ und ‘Integrität’ nicht mehr gewährleistet.” Die Aussagen beziehen sich auf Windows 8 und darauf, wie darin Trusted Computing implementiert ist.

Zeit Online führt ein weiteres Dokument an: Windows 8 könne demnach bereits heute zusammen mit TPM nicht mehr sicher betrieben werden, heißt es da. Mit Windows 7 allerdings habe die Bundesregierung bis 2020 ein sicheres Betriebssystem. Nach diesem Termin müsse sich die Bundesverwaltung um Alternativen oder um eine Lösung des Problems kümmern. Wörtlich heißt es: “Durch den Verlust der vollen Oberhoheit über Informationstechnik” seien “die Sicherheitsziele ‘Vertraulichkeit’ und ‘Integrität’ nicht mehr gewährleistet”. Das habe “erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung.” Die IT-Experten der Regierung kommen daher zu dem Schluss: “Der Einsatz der ‘Trusted-Computing’-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren.”

 

Erstmals veröffentlicht:

www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/

Datenschützer warnt vor Risiken bei

Der Berliner Datenschutzbeauftragte Alexander Dix hat in seinem Jahresbericht 2012[1] auf Gefahren beim Anbinden von IT-Geräten, die von Mitarbeitern mitgebracht werden, an die Infrastruktur des Arbeitgebers hingewiesen. Der Trend „Bring your own device“ (BYOD) sei mittlerweile „in nahezu allen Unternehmen angekommen“, schreibt DIx in dem am Mittwoch vorgestellten, über 200 Seiten langen Report. Meist entzögen sich die mitgebrachten mobilen Geräte wie Smartphones, Laptops oder Tablet-Rechner aber dem IT-Management der Firma. Ihr Einsatz berge daher unter anderem datenschutzrechtliche und technische Risiken. Read More

Mit Windows ME, 2000 oder XP ins Internet: Nicht ins Netz mit alten Systemen!

Eigentlich läuft der alte Computer noch ganz anständig, reagiert relativ flüssig und erledigt alles, was der Benutzer braucht. Warum also wechseln? Wir zeigen die Gefahren, die von „Windows-Oldtimern“ ausgehen.

Technikaffine Benutzer aus der Kategorie „Ich brauche immer das Neueste“ betrachten ihre Windows-Systeme eher unter Aspekten wie:

  • Gibt es schon die richtige Software, die die Maschine auch wirklich auslastet? Read More

Wikileaks – Assange: Anonymous ist vom FBI unterwandert

Julian Assange, der nach wie vor in der ecuadorianischen Botschaft in London festsitzt, hat sich gegen die Anschuldigungen von Anonymous zur Wehr gesetzt. In einem Statement bezichtigt er die Hacker-Gruppierung, vom FBI unterwandert zu sein.

Solidaritäts-Abhandlung

„Grundsätzliche Solidarität bei Wikileaks und Anonymous“ heißt das auf Twitlonger einsehbare Dokument. „Gruppierungen, die als Einheit arbeiten, florieren und jene, die das nicht tun, werden zerstört und ersetzt“, leitet Assange den Brief ein. Nach einer Abhandlung über Solidarität verweist er schließlich auf den Fall „Sabu“. Read More

Für mehr Sicherheit: Facebook fragt Nutzer nach Handynummern

Wie Google drängt jetzt auch Facebook seine Nutzer, ihre Mobilfunknummern zu hinterlegen. Eine verifizierte Nummer soll ihnen zum erneuten Zugriff auf ihr Konto verhelfen, wenn sie ihr Passwort verloren haben oder es kompromittiert wurde. „Wenn Du Dein Passwort vergisst, können wir Dir per SMS ein neues schicken. Um sicherzustellen, dass wir Dich erreichen können, bestätige Deine Handynummer“, so die Aufforderung des Social Network. Read More

IT-Sicherheit: Smartphones und Tablets gefährden Firmen

Jedes zweite deutsche Unternehmen hatte schon Probleme, weil Mitarbeiter private Geräte mit ins Büro brachten. Bei etlichen gingen schon sensible Firmendaten verloren. Von Thomas Heuzeroth

Smartphones, Tablets und private Computer sind zu einem der größten Sicherheitsrisiken in deutschen Unternehmen geworden. Das ist das Ergebnis einer Studie des Marktforschungsinstituts Aris im Auftrag der Telekommunikationsfirma Telefónica. Read More

Internet Explorer 8: Zero Day Exploit für alle

DDOS – Massive Denial-of-Service-Attacke lässt Internet schwächeln

Eine Auseinandersetzung zwischen der Antispam-Organisation Spamhaus und dem niederländischen Unternehmen Cyberbunker hat nach einem Bericht der New York Times zur größten Distributed-DoS-Attacke  („Distributed Denial of Service“) in der Geschichte des Internet geführt. 

Bei einer solchen Attacke versenden Computer massenhaft Anfragen an andere Rechner, bis diese überfordert sind und zusammenbrechen.  Das ist, wie wenn nach einem Fußballspiel Hunderte von Heimkehrern in eine Straßenbahn drängen, so dass man selbst nicht mehr hineinkommt. Read More

Google-Initiative bietet Hilfe für gehackte Sites

DERMALOG auf der CeBIT 2013:

Hamburg (ots) – Wie oft loggen Sie sich täglich in Systeme und Netzwerke ein? Wie viele unterschiedlichen Benutzernamen und Passwörter verwenden Sie? Und sind die Daten, die Sie immer wieder mühsam eingeben, auch wirklich sicher? Die Lösung des Problems heißt „Biometrie“: Einfach den Finger auf einen Scanner legen – und schon ist man „drin“. Immer mehr Laptops und Computer-Systeme werden inzwischen mit dieser zukunftsweisenden Technik ausgestattet. Der führende deutsche Biometrie-Hersteller DERMALOG zeigt auf der CeBIT seine neuesten biometrischen Technologien und Lösungen, damit man Passwörter und PIN-Nummern ein für alle Mal vergessen kann. Read More