SmartphoneHilfe.de
Apps | Gadgets | Reparaturanleitungen
„Die größte Sicherheitslücke im Smartphonebusiness ist die Person, die mit Ihrem Finger über den Touchscreen wischt.“
Dieser Beitrag soll Euch für die möglichen Gefahren durch schadhafte Apps und deren Zugriffsrechte (Berechtigungen) sensibilisieren.
Da rein statistisch 2 von 3 Smartphones auf Android laufen, konzentrieren wir uns auf dieses System als breitere Angriffsfläche auf Grund der Usermasse.
Um das Thema zu verdeutlichen hier ein Beispiel aus der Praxis.
Installation einer Taschenlampen-App.
(Aus Wettbewerbsgründen nennen wir den Namen dieser App nicht!)
Der propagierte Nutzen der App besteht darin, dass der Kamerablitz als Lichtquelle für das Sehen in der Dunkelheit per Knopfdruck an und ausgeschaltet werden kann.
Klickt man in einem Play-Store auf den [Installieren]-Button, so wird einem vorher folgendes Infofenster angezeigt.
In unserem Beispiel werden folgende Zugriffsrechte der App aufgeführt.
Die Ausrufzeichen sowie die OK´s werden nach dem Bild erklärt.
Ok, wird sich jetzt der ein oder andere User denken, dann hat sie eben diese Rechte, na und?
Jetzt wird es interessant!
Denn was benötigt diese App an Rechten und wo soll darüberhinaus eine Gefahr lauern?
Rein technisch benötigt die App genau 2 Zugriffsrechte.
Soweit nachvollziebar.
Wofür also die beiden anderen Zugriffsrechte und was kann darüber gemacht werden?
Netzwerkkommunikation – Vollständiger Internetzugriff
Wofür kann dieses Zugriffsrecht genutzt werden?
Das Ziel der Angreifer ist immer das Gleiche – Geld verdienen!
Hier ein paar Scenarien!
Der Schadcode kann weitere ungewollte Berechtigungen enthalten, die dem Angreifer ermöglichen unbemerkt sensible Daten vom Smartphone zu stehlen oder das Gerät als Netpoint in ein Mobiles-Botnetz einzubinden.
Beispiele:
Persönliche oder geschäftliche Daten – Fotos, Videos, Kontakte, Emails usw…
Kontakte – Können im 1000er Pack an Datensatzhändler für die Neukundenakquise verkauft werden.
Geschäftsemails – Darin enthaltenes Wissen kann an Konkurenten (Beispiel: Pharmaindustrie – Firma A entwickelt ein neues Medikament und gibt dafür Milliarden aus, jetzt werden die Ergebnisse an Firma B verkauft und diese lässt sich das Medikament zuerst Patentieren…) verkauft werden.
Bilder, Videos, Privatemails – Kompromittierendes Bildmaterial wurde schon oft genutzt um Menschen damit zu erpressen. (Gewaltenteilung 4. Macht – Medien)
Emailaccount – Der neue Inhaber kann sich die Passworte der über diesen Account registrierten Logins für Amazon, Ebay, Facebook usw über „Passwort vergessen“ senden lassen und Shoppen oder die Reputation des Opfers negativ belasten – Imagedestruction.
Phishing – App erstellt eine Verknüpfung auf dem Homescreen mit dem Facebook-Zeichen als Logo. Klickt man darauf wird man auf eine gefälschte Login-Seite (diese ist eine exakte Kopie der FB-Seite)
gelinkt. Dort gibt man zum Einloggen Email und Passwort ein und sendet diese Daten direkt an den Sammler. Da die Browserleiste oftmals sehr klein ist achten User weniger darauf was drin steht, weil ja eh der größte Teil abgeschnitten wird. Da die Login-Daten nicht sofort vom Angreifer genutzt werden müssen, wird ein Diebstahl oft nicht bewusst. Erst wenn der Account „selbstständig“ postet.
Mistrauisch geworden? – Einfach schnell ein neues Passwort eingeben!
SMS-Tan abfangen (Man-in-the-Middle-Attack) und fälschen – Damit werden Eure Onlineüberweisungen vom Smartphone mal eben auf ein neues Konto gelenkt. (Das Geld ist nicht weg, es hat nur jemand anders!)
Das Smartphone für Mobie-DDOS-Atacken missbrauchen – Da Rechenleistung sowie Internetbandbreite immer größer werden, kann das Gerät an ein Mobiles-Botnetz gelinkt werden und es führt unbemerkt LOIC-Angriffe auf Server aus um diese Zeitweise zu blockieren. (Angegriffene Internetseiten sind dann im Netz nicht mehr erreichbar.) Damit werden Sie zum Mittäter ohne es zu wissen!
Teure Servicenummern – Unbemerkt ruft Ihr Smartphone einmal im Monat für wenige Minuten eine teure Servicenummer an oder sendet eine Sms an einen Abodienst. Die Kosten werden Ihnen dann auf der monatlichen Rechnung dargestellt. Wenn Sie es merken, werden Sie sich sicher fragen woher die Positionen auf der Rechnung kommen. Da große Beträge dem Opfer sofort ins Auge stechen werden in diesem Fall eher Centbeträge aufblitzen, da diese weniger auffallen.
Und das bringt Geld werden sich einige Fragen?
Wenn man von einer einzigen App ausgeht, kann es schon teuer werden, doch gute, nützliche Apps laufen oftmals auf Hundertausenden von Geräten und da zählt dann das Gesetz der Masse.
Wenn viele Menschen nur einen Euro spenden, dann wird daraus für den Empfänger sehr viel Geld!
Vielen Dank geht an dieser Stelle ebenfalls an den Moderator eines großen
Online-Sicherheitsportals, der unser Team auf der CEBIT mit den neusten
Trends versorgt hat.
Getreu dem Motto: „Nur wer von einer Gefahr weiss, kann überlegen wie er sich dagegen schützt.“
Zur Prävention hilft:
[Einstellungen] -> [Sicherheit] -> Runterscrollen [Unbekannte Quellen] -> Hacken entfernen. Tipp:
Wir haben Euch eine Taschenlampen-App rausgesucht die nur die nötigsten Rechte hat.
Werft mal einen Blick auf –
IO-Taschenlampe und schaut Euch die Berechtigungen an!
