Original-URL des Artikels: https://www.golem.de/news/security-gegen-die-angst-vor-angriffen-aufs-smartphone-1405-106313.html    Veröffentlicht: 07.05.2014 15:11    Kurz-URL: https://glm.io/106313

Security

Gegen die Angst vor Angriffen aufs Smartphone

Für das Re:publica-Publikum haben die Sicherheitsexperten Linus Neumann und Ben Schlabs ein paar Tipps parat, wie Smartphones gesichert werden können. Und sie zeigen, wie Siri als Einbruchhelfer missbraucht werden kann.

Es sind immer noch die einfachen PINs, die es leicht machen, sich Zugang zu gestohlenen Smartphones zu verschaffen. "1234" ist nach Untersuchungen in den USA der am häufigsten verwendete Zahlencode auf Mobiltelefonen. Viele benutzen auch Zahlen nach einem Muster auf dem Nummernfeld, etwa "2580". Dass vierstellige PINs Standard sind, ist dem Erfinder der Geldautomaten, John Shepherd-Barron, zu verdanken. Oder vielmehr seiner Frau, die sich keine längeren merken wollte. Aber auch neunstellige PINs sind nicht sicherer: Während einfache Kombinationen etwa 17 Prozent aller vierstelligen PINs ausmachen, sind es bei neunstelligen etwa 45 Prozent. Die meisten Nutzer wollen oder können sich offenbar lange Zahlenkombinationen nicht merken.

Sämtliche Sicherheitssperren überwinden

Auch die Alternativen zur PIN sind nicht unbedingt besser. Relativ sicher ist die Gesichtserkennung. Per Wischgesten eingegebene Zahlenkombinationen können indes anhand der Fettablagerungen auf dem Bildschirm leicht erraten werden. Dass die Abfrage per Fingerabdruck ausgehebelt werden kann, hat der Hacker Starbug vom Chaos Computer Club entdeckt. Neumann und Schlabs demonstrieren den Hack auf einem Galaxy S5 von Samsung. Den Fingerabdruck haben sie auf eine Leiterplatte ätzen lassen.

Solche Sperren seien aber immerhin besser als nichts, sagten Neumann und Schlabs. Denn satte 64 Prozent der Nutzer in den USA verwenden gar keine Zugangsabfragen. Dabei gebe es gute Gründe, die Daten auf einem Smartphone abzusichern. Denn dort sind auch Zugänge zu weiteren Diensten gespeichert, zum Postfach etwa oder zum Cloudspeicher. Die Kontaktliste ist für Diebe ebenso viel wert wie Zugangsdaten zum Konto. Über das Smartphone können TANs angefordert werden.

TANs auf dem Lockscreen

Apropos TANs: Nutzer sollten darauf achten, dass einige Standardoptionen ausgeschaltet werden. Etwa die Mitteilungen auf dem Lock-Screen. Denn dort tauchen auch SMS auf, in denen TANs von Banken verifiziert wurden, oder Twitter-Mitteilungen, die nicht jeder sehen soll.

Siri lässt sich ebenfalls nutzen, wenn das Smartphone gesperrt ist, zeigten die beiden Sicherheitsforscher. Sie fragten ein gesperrtes iPhone ab, wie der Name der Freundin des Smartphone-Besitzers sei. Der schickten sie über Siri eine SMS, mit der Bitte, sofort 1.000 US-Dollar per Bargeldtransfer zu überweisen und den Verifizierungscode per SMS zurückzuschicken. Die eingehende SMS wird auch auf dem Sperrbildschirm angezeigt. In den Optionen kann die Verwendung von Siri auf einem gesperrten iPhone deaktiviert werden. Außerdem sollten Nutzer die Option aktivieren, dass der Inhalt des iPhones nach zehn misslungenen PIN-Eingaben automatisch gelöscht wird.

Geringe Priorität für den Löschbefehl

Das Löschen aus der Ferne, ein Dienst, den Apple unter dem Namen Find-my-iPhone anbietet, lässt sich mit etwas Geschick ebenfalls aushebeln. Dazu muss das gestohlene Smartphone vom Dieb zunächst in den Flugzeugmodus versetzt werden. Dann funktioniert das Zurücksetzen mangels Internetverbindung nicht. Der Dieb kann ein neues Passwort für das Konto des gestohlenen iPhones anfordern und kurzzeitig den Flugzeugmodus deaktivieren, um ein neues zu vergeben. Denn dem Löschbefehl räumt iOS nur eine geringe Priorität ein; empfangene E-Mails kommen zuerst an.

Platz eins der Angriffe auf Smartphones aus der Ferne nimmt Malware ein, die kostenpflichtige Premium-SMS verschickt. So präparierte Apps seien unter Android weiter verbreitet als unter iOS. Das liege daran, dass die Installation von Apps von Drittanbietern unter Android möglich ist. Auf Geräten von Apple muss das Betriebssystem per Jailbreak freigeschaltet werden.

Bitte keine Malware

Entsprechend gibt es auch hauptsächlich für Android Spyware-Apps, mit denen beispielsweise ein fremdgehender Ehemann überwacht werden kann. "Gebt keinem euer Smartphone in die Hand, dem ihr nicht vertraut", sagte Schlabs. Neumann warnte zudem vor Banking-Trojanern, die entsprechende SMS abfangen und an Angreifer weiterleiten, statt sie dem eigentlichen Empfänger anzuzeigen. Nutzer sollten deshalb keinen Apps aus fremden Quellen vertrauen.

Auf GSMmap lässt sich feststellen, wie sicher die Verbindungen über die Mobilfunknetze sind. In Deutschland seien die Sicherheitsstandards, wie etwa die Verschlüsselung, seit Ende 2013 bei vielen Anbietern sprunghaft angestiegen. Das sei aber nicht wegen der NSA-Affäre geschehen, sondern ein Resultat langer Planung, sagte Neumann. Besorgte Nutzer sollten sich bei ihren Providern erkundigen, ob sie Verschlüsselung nach A5/3 anbieten oder die Weitergabe von Standortdaten auf ein Minimum reduzieren.

Es gebe keinen Grund zur Panik für Smartphone-Benutzer - wenn sie einige Sicherheitsvorkehrungen beachten, sagten Neumann und Schlabs. Im Zweifel sollten beispielsweise iPhone-Besitzer ihr Gerät zurücksetzen. Die Daten seien weitaus wertvoller als das Smartphone. Es gebe ja hoffentlich ein Backup.  (jt)


Verwandte Artikel:
PIN und Passwörter: Der Bestandsdaten-Beifang der Polizei   
(27.03.2013, https://glm.io/98412 )
Touch-ID deaktivieren: iOS 11 bekommt Polizei-Taste   
(18.08.2017, https://glm.io/129552 )
iPhone X: Zwei Argumente halten Apple-Kunden vom Kauf ab   
(07.03.2018, https://glm.io/133202 )
Avast: CCleaner-Infektion enthielt Keylogger-Funktion   
(09.03.2018, https://glm.io/133255 )
Das soziale Netzwerk der Zukunft: Wie Facebook, nur besser   
(07.05.2014, https://glm.io/106310 )

© 1997–2019 Golem.de, https://www.golem.de/