Mobile Security

Warum Sie Ihrem Smartphone nicht mehr trauen können

Kommentar  von Mike Elgan
Eine völlig neue Klasse von Sicherheitslücken entsteht auch auf Ihrem Smartphone. Schuld sind Hersteller, die absichtlich Schwachstellen schaffen und die Kunden darüber im Unklaren lassen.

Richtig gelesen. Auch Ihr Smartphone könnte "Geheimfeatures" enthalten, die Sie angreifbar machen. Dabei geht es allerdings nicht um versehentlich entstandene Bugs, die von Hackern ausgenutzt werden. Es ist ein völlig neues Phänomen, von dessen Existenz wir erst vor einigen Wochen erfahren haben. Es geht dabei um Design-Entscheidungen, die von Smartphone-Herstellern getroffen wurden und die dafür sorgen, dass Ihr Smartphone Dinge im Verborgenen tut, die Ihre Sicherheit gefährden.

Sie können Ihrem Smartphone nicht mehr trauen. Wir sagen Ihnen warum.
Foto: GaudiLab - shutterstock.com

Konkret geht es um Google, Apple und OnePlus, die - wie kürzlich bekannt wurde - absichtliche Sicherheitslücken in ihre Telefone einbauen, die kein User je vermuten würde. Das geht soweit, dass die Smartphones dieser Hersteller sogar dann potenziell unsichere Dinge "tun", wenn ihr Besitzer aktiv Maßnahmen ergreift, um genau das zu verhindern. Natürlich ist dabei nicht unbedingt von böser Absicht auszugehen: Meist ist das Ziel der Hersteller, ihr Gerät noch leistungsfähiger oder komfortabler bedienbar zu machen. Dabei jedoch die Kunden komplett außen vor zu lassen begründet ein neues Level an "Customer Disrespect".

Google is watching you!

Wie Quartz Media berichtet, haben Geräte mit Android-Betriebssystem über die letzten elf Monate die Lokationsdaten ihrer Nutzer an Google-Server übermittelt. Und zwar auch, wenn die Lokalisierungsfunktion aktiv abgeschaltet wurde, keine Apps in Benutzung waren oder keine SIM-Karte installiert war. Ermittelt wurden diese Daten über die Mobilfunkzellenidentifikation (Cell-ID).

Ein Sprecher des Konzerns ließ uns gegenüber dazu verlauten, dass Google die Cell-ID-Daten als zusätzliches Signal verwende, "um die Geschwindigkeit und Performance seiner Kommunikationsservices zu verbessern." Dabei habe man diese Daten nicht benutzt oder gespeichert und es habe keine Verbindung zu Lokationsdiensten, zielgerichteter Werbung oder anderen Funktionen dieser Art bestanden. Laut Google habe man damit ausschließlich das Ziel verfolgt, zu einem späteren Zeitpunkt Performance-Optimierungen vorzunehmen.

7 Tipps gegen Hacker auf Smartphone, Tablet & Co.
Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt.
Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht.
Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer.
Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern.
Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual".
Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen.
Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!

Aufgrund der nun entstandenen Kontroverse will der Konzern die Aggregation von Cell-ID-Daten in den kommenden Wochen komplett einstellen. Dazu wird übrigens kein Software Patch oder Download benötigt. Zur Zukunft dieses Features hat sich Google bislang nicht geäußert.

Grundsätzlich war es die richtige Entscheidung von Google, nach einer Verbesserung der Performance seiner Services zu streben. Die Cell-ID-Daten allerdings ohne vorherige Zustimmung oder Aufklärung der User einzusammeln, war hingegen die falsche.

Apples Control-Center-Fail

Wenn Sie in den Einstellungen Ihres iPhones die Wifi- und Bluetooth-Funktion abschalten, bleiben diese solange deaktiviert, bis Sie sie wieder aktivieren. So erwarten es die User und genau so funktioniert es auch. Das könnte Nutzer dazu verleiten zu glauben, über das iOS Control Center ginge das ebenso. Tut es aber nicht. Zumindest nicht seit iOS 11.

Denn wer die neueste Version von Apples mobilem Betriebssystem hat und über das Control Center die Funktion für Wireless LAN und/oder Bluetooth deaktiviert, muss damit leben, dass das iPhone sich automatisch mit neuen Hotspots oder Bluetooth Devices verbindet, sobald diese in Reichweite kommen. Der einzige Weg, die Funktionen tatsächlich und dauerhaft zu deaktivieren, führt über die Einstellungen. Die Deaktivierung über das Control Center kommt hingegen mehr einer Illusion gleich.

Das Problem dabei: iPhone-Nutzer müssen davon ausgehen, dass auch die Schieberegler im Control Center eine "dauerhafte Wirkung" entfalten - schon alleine deshalb, weil es in jeder vorigen iOS-Version so gehandhabt wurde. Schließlich unterscheiden sich die Funktionen in Control Center und Einstellungen auch rein äußerlich nicht voneinander. Apple hat seine Nutzer auf einer Support-Seite zwar über die Änderung informiert, allerdings wurde die Information auch nicht besonders hervorgehoben. Der Großteil der iPhone-Nutzer dürfte gerade jetzt zum ersten Mal von diesem Umstand erfahren.

Dazu kommt noch: Das iOS Control Center ist eigentlich dazu gedacht, gängige Funktionen schnell und komfortabel ein- und ausschalten zu können und Zubehör wie den Apple Pencil oder die Apple Watch möglichst komfortabel mit dem Apple-Smartphone koppeln zu können. Eine ziemlich gute Sache also. Die leider erheblich an Faszination einbüßt, wenn man bedeutsame Unterschiede in der Bedienung nicht ausreichend für die User erkennbar macht.

Der EngineerMode bei OnePlus

Vor einigen Wochen wurde bekannt, dass der chinesische Smartphone-Hersteller OnePlus seine Geräte mit einer vorinstallierten App ausgeliefert hat, über die man die Devices rooten kann. Dabei handelt es sich um die App "EngineerMode" - eine Art Diagnose-Software, die oft auf Prototypen oder Vorserienmodellen zu finden ist. Auf Modellen, die für den Verkauf bestimmt sind, wird Software dieser Art für gewöhnlich nicht installiert.

Die App kann über dreierlei Vorgehen aktiviert werden: mit einem Dialer-Kommando, dem Android Activity Launcher oder über die Kommandozeile. Das Root-Access-Feature der Applikation war dabei zwar Passwort-geschützt - allerdings so schlecht, dass dieses schnell im Netz die Runde machte. Um die App zu kompromittieren, ist allerdings auch ein physischer Zugang zum Gerät notwendig.

Auch deswegen bezeichnete OnePlus das Ganze in einem Blogpost wohl als "keine größere Sicherheitslücke". Dennoch will das Unternehmen die Software über ein Update entfernen.

Die "EngineerMode"-App ist offensichtlich eine modifizierte Qualcomm-Applikation und es gibt Hinweise darauf, dass ähnliche Software unter anderem auch auf den Smartphones von Asus und Xiaomi aktiv ist:

Zwar erscheint es grundsätzlich möglich, dass ein Smartphone-Hersteller ein Gerät ausliefert, ohne zu wissen, welche Software darauf installiert ist - allerdings bleibt mindestens ein fader Beigeschmack. Wahrscheinlich war es eher so, dass man sich bei OnePlus bewusst entschieden hat, die Software auf den Geräten zu belassen, um Zeit zu sparen. Schließlich hätte sonst eine Deinstallation auf allen Devices gedroht.

Wenn die Einschätzung von OnePlus zutrifft, dass die App keine Gefahr für seine Kunden darstellt, war das auch die richtige Entscheidung. Nur hätte man die Kunden im Vorfeld auch über die Software und ihre Funktion informieren müssen.

Erfolg frisst Vertrauen?

Allen drei Fällen ist eines gemein: Die Smartphone-Hersteller haben durch ihr Schweigen den Nutzern ein Stück weit die Kontrolle über ihre Geräte geraubt. Dabei verfuhren die Konzerne offensichtlich nach dem Grundsatz: "Was der Kunde nicht weiß, macht den Kunden nicht heiß".

Eine Stellungnahme ließen Google und OnePlus erst folgen, nachdem ihnen Spezialisten auf die Schliche gekommen waren. Das wirft natürlich die Frage auf, was sonst noch so im Verborgenen geschieht. Und schafft Misstrauen. Darüber hinaus zeigen diese Beispiele mangelnden Respekt der Konzerne gegenüber ihren eigenen Kunden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation Computerworld.