iPhone, Blackberry, Android

Die Sicherheitslücken der Smartphones

11.11.2011 von Spencer  McIntyre und Andrea König
Das sicherste Smartphone gibt es nicht: Jedes der fünf großen Betriebssysteme hat seine Schwachstellen. Beim iPhone etwa bringt ein Jailbreak Gefahren mit sich.

Immer mehr Menschen haben ein Smartphone, sei es ein iPhone, ein Blackberry oder ein Android-Gerät. Allein in den USA sollen laut Comscore 2010 mehr als 45 Millionen Menschen eines besessen haben. Sie erledigen mit ihren Smartphones viele Aufgaben aus dem Berufs- und Privatleben. Doch - mahnt Spencer McIntyre vom Unternehmen SecureState in einem Gastbeitrag für unsere amerikanische Schwesterpublikation CIO.com - die Risiken von Malware werden auf diesen Geräten häufig unterschätzt.

Kein Smartphone ist vor Malware sicher, auch nicht das iPhone.
Foto: Apple

Um seine These zu unterfüttern, zitiert McIntyre eine Studie der Rutgers University im US-Bundesstaat New Jersey: Die Studienautoren sehen in Schadsoftware für mobile Geräte ein größeres Risiko für Nutzer und ihre Finanzen als in Computerviren. McIntyre fordert eine größere Aufmerksamkeit für die Angreifbarkeit von mobilen Geräten. Er stellt Schwachstellen der populärsten Geräte vor.

iPhone

McIntyre sagt, dass viele Ergebnisse seiner Recherchen zu Malware auf mobilen Geräten mit dem iPhone zu tun hatten. Häufiger findet sich Malware auf Geräten mit Jailbreak. Wer auf seinem iPhone einen Jailbreak durchführt, entsperrt das Gerät inoffiziell und umgeht so die Nutzungseinschränkungen von Apple. So öffnet man das Gerät aber nun mal auch für Malware. Auch wer ein iPhone ohne Jailbreak nutzt, ist nicht vollständig vor Sicherheitslücken geschützt. Im September 2011 wurde beispielsweise eine Schwachstelle in der Skype-App gefunden, über die ein Zugriff auf das Adressbuch des iPhone-Besitzers möglich ist.

Windows Mobile/Windows Phone 7

Bei Windows Mobile-Smartphones besteht laut McIntyre im Vergleich zu anderen mobilen Geräten eine größere Gefahr, sich über SMS mit Malware zu infizieren. Häufig beobachtet man hier, dass Malware, die man bereits vom Windows OS kennt, dann auch beim Windows Mobile OS auftritt. Ein bekanntes Beispiel für eine Bedrohung von Windows Mobile Phones war etwa das Zeus-Botnet. In den Kommentaren zum Originalartikel protestieren mehrere Leser gegen diesen Punkt. Denn im Oktober 2010 stellte Microsoft das Nachfolger-Betriebssystem Windows Phone 7 vor. Windows Phone 7 ist ein ähnlich geschlossenes System wie Apples iOS. Im Mai hat Microsoft für seine Smartphone-Plattform Windows Phone 7 einen Security-Patch angekündigt. Das Update behebt eine Bedrohung durch gestohlene SSL-Zertifikate.

Blackberry

Die Anzahl der Bedrohungen für den Blackberry ist vergleichsweise gering. McIntyre sieht den Verdienst hier im Unternehmen Research in Motion, das viele technische Details des Blackberrys erfolgreich vor der Öffentlichkeit geheim hält. Das Betriebssystem von RIM hält er für das geschlossenste System, das hier vorgestellt wird. Doch auch der Blackberry bleibt nicht unbeschadet - durch die Multitasking-Funktion kann Malware leichter unbemerkt bleiben. Im August dieses Jahres warnte Blackberry vor einer Sicherheitslücke einer Blackberry-Software. Zwar waren hier die Smartphones nicht unmittelbar betroffen, doch sie könnten aufgrund der Schwachstelle als Einfallstor für Schadprogramme in die Enterprise-Software des Unternehmens ausgenutzt werden, hieß es damals. Durch ein Update wurde diese Sicherheitslücke geschlossen.

Android-Apps ohne Schwachstellen-Analyse

Symbian

Auch Symbian ist als ältestes und weit verbreitetes Smartphone-Betriebssystem nicht von Malware verschont. Genau wie Windows Mobile war auch Symbian vom Zeus-Botnet betroffen.

Android

Android ist das einzige Open-Source-Betriebssystem unter den hier aufgeführten und wird stark von seiner Community vorangetrieben. Angebotene Apps werden nicht auf Schwachstellen hin untersucht, deshalb sollte man hier sehr genau darauf achten, dass der Anbieter der App vertrauenswürdig ist. Im Oktober wurde eine Sicherheitslücke bekannt, mit der sich sensible Nutzerdaten von HTC-Smartphones auslesen lassen, darunter Mail-Adresse und Telefonkontakte. Eine Code-Anweisung in einer Android-App soll diese Auslesung ermöglicht haben.

Fazit

Eine ausdrückliche Empfehlung für das sicherste Smartphone spricht McIntyre nicht aus. Für ihn hat jedes Betriebssystem seine Stärken und Schwächen, und Malware existiert auf allen vorgestellten Betriebssystemen. Ein Ratschlag gilt für alle Systeme: So sollte man beispielsweise immer darauf achten, Applikationen nicht aus irgendwelchen dubiosen Quellen herunterzuladen. Vor allem dann nicht, wenn man den Urheber der Applikation nicht kennt. Wer ein Smartphone mit Jailbreak nutzt, muss sich über die erhöhten Risiken im Klaren sein. Andere werden in ihrer Bewertung deutlicher: In seiner April-Ausgabe schrieb das IT-Magazin "iX" zum Beispiel, dass der Blackberry und das iPhone im Vergleich zu Android-Geräten wenig Angriffspunkte bieten.

Spencer McIntyre arbeitet als Security-Consultant beim Unternehmen SecureState und ist dort auf Penetrationstests spezialisiert.