Das mobile Zeitalter hat begonnen – Die Sicherheitslücken bleiben (Interview mit einem Hacker)

0

Aus der Reihe: Frag einen Hacker
Seit diesem Jahr verzeichnet der Internetdienstleister Google mehr Zugriffe von mobilen Endgeräten auf das Internet als von Desktop PCs. Das mobile Zeitalter scheint vollends begonnen zu haben. Mit mobiler Technologie sind aber die Sicherheitslücken nicht verschwunden, die Desktop PCs hatten und haben. Es ist vielmehr ein nahtloser Übergang, bei dem alte Sicherheitsprobleme bleiben und neue hinzukommen. Mobildiscounter.de hat ein Exklusivinterview mit dem Hacker Alex F. geführt, der uns in die Welt der IT Sicherheit einführt.

Malware und sichere Passwörter beim Smartphone

Sicherheitslücke Smartphone

Hallo Alex. Steigen wir gleich ein. Malware: Als Malware, zu Deutsch Schadprogramm, bezeichnet man Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Wie kommen solche Programme auf das eigene Smartphone, egal ob Apple Handys, Android Handys oder Handys mit anderen Betriebssystemen?

Alex F.: Da gibt es mehrere Möglichkeiten: Über Trojaner in Apps aus bestimmten App-Stores, über Werbung für eine Applikation, auf die bedenkenlos geklickt wird oder über Sicherheitslücken, die wiederum über verschiedene Methoden aufgerufen werden können.
Nehmen wir als Beispiel die Stagefright-Lücke, die im Juli 2015 bekannt wurde und von der die Android-Versionen 2.2 bis zur Version 5.1.1. und damit rund 95% aller Android Smartphones betroffen sind. Über eine manipulierte MMS kann ein Angreifer Kontrolle über Mikrofon und Kamera übernehmen oder sogar die SD-Karte auslesen. Anfällig sind hier alle Apps, die MMS auslesen können, insbesondere Google Hangout.

Passwörter-Smartphone

Was können solche Schadprogramme für Schaden anrichten?
Alex F.: Die meisten Kriminellen wollen Geld ergaunern. Die üblichen Methoden sind Spam, Premium SMS Abzocke, Identitätsdiebstahl oder Erpressung. Manchmal schalten sie auch Werbung, um so am “Nutzer” zu verdienen. Das ist noch immer eine beliebte Möglichkeit, da es am wenigstens Aufwand ist.

Wie kann man sein Smartphone schützen?
Alex F.: Die Methoden sind bei Smartphones und Desktop PCs  weitgehend gleich, wobei ein vertrauenswürdiger App-Store die Chancen senkt, dass es sich um einen Trojaner handelt. Schützen kann man sich somit durch die gleichen Tipps wie an Desktop-Rechnern: Vorsichtig mit Downloads und Anwendungen umgehen. Weniger ist hier mehr. Sicherheitsupdates installieren und ungewöhnliche Gefahrenmeldungen im Auge behalten, indem man sich regelmäßig bei einschlägigen Newsportalen informiert. Sichere Passwörter sind auch ein guter Anfang.

Wie sieht ein sicheres Passwort aus?
Alex F.: Oft wird empfohlen viele Sonderzeichen zu verwenden. Das ist aber gar nicht so wichtig, die Länge des Passworts ist interessanter. Bei langen Passwörtern ist es für den Menschen einfacher sie zu behalten, aber für die Maschine schwierig zu knacken. Leider werden lange Passwörter nicht von allen Diensten erlaubt! Das ist ein ziemlicher Mist und sollte eigentlich dringend geändert werden

Du hast Identitätsdiebstahl als mögliche Motivation eines Angreifers genannt. Dazu werden Passwörter und Zugangsdaten benötigt. Inwieweit sind solche Daten für Dritte zu ermitteln?
Alex F.:  Zunächst: Ja, die Daten sind zu ermitteln. Entweder liegen die Passwörter lokal z.B. gespeichert im Browser und / oder (im Idealfall gehashed) bei der Plattform. Ein Hash ist eine Art Prüfsumme für Daten, die automatisch von einer Hashfunktion (z.B. md5) generiert und anstatt des Klartext-Passworts gespeichert wird. Gute Hashalgorithmen liefern eindeutige Werte.
Das heißt zum Beispiel 123456 hat den MD5 Hash: e10adc3949ba59abbe56e057f20f883e. Es ist nicht ohne Aufwand möglich vom Hash auf die Daten zurück zu schließen. Es sei denn, der Hashwert ist sowieso schon bekannt (wie in dem Beispiel).

Ist ein Hash das gleiche wie eine Verschlüsselung?
Alex F.: Nein. Passwort hashen und verschlüsseln sind zwei verschiedene Sachen, werden aber oft zusammen gewürfelt. Bei einer Verschlüsselung brauche ich einen Schlüssel, um an die ursprünglichen Daten zu gelangen. Der Schlüssel sollte sicher gespeichert sein. Passwörter können auch verschlüsselt werden, um sie allerdings zu prüfen, ob das eingegebene Passwort auch das richtige Passwort ist, muss es entschlüsselt werden. Das wird nur selten gemacht. Meistens handelt es sich um Hashwerte. Im Idealfall von einem starken Algorithmus.

Verschlüsselung Smartphone

…aber dennoch sind die Passwörter ermittelbar?
Alex F.: Sowohl auf der Plattform als auch lokal können Passwörter dennoch abhandenkommen. Trojaner können lokale Passwörter, die über den Browser gespeichert wurden, finden und an die Angreifer übertragen. Zur Sicherheit gibt es Passwortmanager, indem verschiedene Passwörter geschützt werden (KeePass, Firefox Masterpasswort). Es kann aber auch passieren, dass die Plattform selbst angreifbar ist und Zugang zu der Datenbank mit den Passwörtern ermöglicht. Das hat nicht nur technische Gründe, denn auch ein Mitarbeiter oder ein Fehler in der Konfiguration kann ausgenutzt werden.

Wie können solche Fehler in der Konfiguration aussehen?
Konfigurationsfehler werden häufig vom Mitarbeiter bzw. Administrator selbst verursacht. Es gibt aber auch Fälle wo z.B. ein Standardpasswort gesetzt ist und nicht geändert wurde. Das würde ich auch Konfigurationsfehler nennen, obwohl der entsprechende Administrator in diesem Fall nichts hat tun müssen.
Es kann aber auch selbst verursacht werden z.B. Patreon. Siehe hier :“Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen – diese ermöglichten den umfangreichen Hack in der vergangenen Woche.“ Wobei hier eher das Problem war, dass die entsprechende Seite mit diesen Einstellungen im Internet erreichbar war.

Cloud Computing und Man-in-the-Middle Angriffe

Sicherheit Cloudcomputing

Seit einigen Jahren wird das Cloud-Computing insbesondere im Smartphone Bereich immer beliebter. Eine Cloud ermöglichte es Daten an einem nicht lokal installierten Rechner oder Netzwerk zu speichern. Gibt es hier Sicherheitsbedenken?
Alex F.:   Ja. Clouds sind große Serverinfrastrukturen. Hier gibt es die üblichen Stolpersteine wie Konfigurationsfehler, Verschlüsselung und Man-in-the-Middle-Angriffe. Zusätzlich braucht man Vertrauen in die Cloud selbst, weil es für den Betreiber oft möglich ist unkontrolliert Daten zu lesen. Administratoren können dies in den meisten Fällen z.B. zur Fehlersuche tun. Was damit geschieht kann nicht geprüft werden. Die Übertragung der Daten sollte verschlüsselt geschehen, was sie auch in den meisten Fällen geschieht.

Was ist ein Man-in-the-Middle Angriff?
Alex F.: Ein Angreifer täuscht zwei oder mehreren Kommunikationspartnern vor der jeweilige gegenüber zu sein. Hier könnte sich z.B. ein Angreifer dazwischen schalten und z.B. eine Login-Seite nachbauen. Generell kann der Angriff über physikalische Manipulation von Kabeln, W-Lan oder Ethernet erfolgen, soweit sich Opfer und Angreifer im selben Netzwerk befinden. Das geht beispielsweise in öffentlichen Netzwerken oder aber, im Fall von Geheimdiensten, sogar zwischen großen Routern im Internet. Mit dem Passwort (außer bei zwei-Wege-Verfahren mit Token z.B. per SMS) hat er Zugriff auf die Daten.

Wie kann man sich beim Surfen mit dem Smartphone schützen?
Alex F.: Als Gegenmaßnahme sollte auf alle Sicherheitskennzeichen z.B. im Browser geachtet werden. Ist die Übertragung zur Webseite verschlüsselt? Ist es die richtige Webseite? Zur Sicherheit in offenen Netzwerken lässt sich ein VPN-Dienst (Virtual Private Network) benutzen, der die komplette Verbindung verschlüsselt.

Merkel Handy Hacked

Seit bekannt wurde dass das Handy der Bundeskanzlerin abgehört wurde, ist Abhörsicherheit wieder ein großes Thema. Wie können Gespräche abgehört werden und wie kann man sich schützen?
Alex F.: Das kommt darauf an, ob z.B. VoIP oder GSM. Bei Voice over IP (VoIP) wird die Internetverbindung genutzt, prominentestes Beispiel ist hier Skype. Beim Global System for Mobile Communications (GSM) handelt es sich um einen seit längerem genutzten Standard für Mobiltelefonie und Kurzmitteilungen (SMS).

Mit entsprechender Hardware (IMSI-Catcher) können unverschlüsselte Gespräche abgehört werden. Dazu reicht es aus, eine Funkzelle vorzutäuschen und dabei keine Verschlüsselung anzubieten. Problematisch ist auch, dass auf dem Handy/Smartphone nicht angezeigt wird, ob und welche Verschlüsselung (z.B. welche Schlüssellänge) benutzt wird. Deshalb ist es für den Nutzer nicht einzuschätzen, ob oder wie sicher das Gespräch geschützt ist.
Das Gleiche gilt für VoIP und Man-in-the-Middle-Angriffe. Da verschlüsselte Übertragung nicht von allen Betreibern unterstützt wird, könnten Gespräche im gleichen Netzwerk oder beim Transport mitgehört werden.

Wie kann man sich dagegen beim Telefonieren mit dem Smartphone schützen?
Alex F.: Die Internettechnologie WebRTC mit der Videochats im Browser möglich sind, wird grundsätzlich verschlüsselt. Ein Dienst dieser Art wäre Firefox Hello. Es gibt bestimmte Dienste, die Ende-zu-Ende Verschlüsselung anbieten. Im Fall der Bundeskanzlerin wurde das Handy nach dem Angriff getauscht und entsprechende Crypto-Handys verwendet, die allerdings auch nicht fehlerlos sind.

Wir danken für das Gespräch

HIER kannst du dir ein neues Smartphone sichern!

Hast du Angst vor unerlaubten Zugriffen auf dein Smartphone? Wie schützt du dich? Schreib mir deine Meinung als Kommentar im Blog.

Alle Bildrechte: Lizenz: CC0 Public Domain – Pixabay.com

Teilen:

Über den Autor

Hinterlasse eine Antwort