Hack in der Hose
Immer häufiger werden Smartphone-Plattformen von Sicherheitslücken geplagt. War es einst uninteressant, sie auch auszunutzen, dürfte sich das in den nächsten Monaten schnell ändern, denn die enthaltenen Daten sind für Gauner hochspannend.
Es gab eine Phase in der Entwicklung mobiler Kommunikationsgeräte, da habe ich jedes Mal gegrinst, wenn irgendwo ein Bericht über so genannte "Handy-Viren" auftauchte. "Die Sicherheitsfirmen suchen nach einem neuen Markt", sagte ich dann meinen Bekannten, wenn sie mich danach fragten, "und nein, Norton für Dein Nokia brauchst Du nun wirklich nicht. Bleib' am besten schön locker".
Die Zeiten sind spätestens seit letzter Woche endgültig vorbei. Da demonstrierten die Hacker Charlie Miller und Collin Mulliner auf der Black-Hat-Sicherheitskonferenz in Las Vegas die Ausnutzung eines herben Fehlers in Apples höchst populärem iPhone. Der Angriff ist nicht weniger als spektakulär: Mit Hilfe einer kleinen Software wird eine speziell manipulierte, verkettete SMS an das Gerät des Opfers gesendet, das daraufhin derart hart aussteigt, dass die Ausführung externen Programmcodes möglich ist. In einem zweiten Schritt wird das Smartphone dann für den externen Zugriff vorbereitet. Der Angreifer kann laut Miller und Mulliner nahezu alles mit dem so behandelten iPhone anfangen: Vom Auslesen des Adressbuchs (prima zum Weiterschicken als Wurm) bis hin zum Zugriff auf die Kamera oder abgelegte E-Mails.
Die Lücke steckt nicht nur im hippen Handy mit dem Apfellogo, sondern funktioniert ähnlich auch mit Googles konkurrierendem Android-Mobilbetriebsystem. Sowohl Google als auch Apple sind informiert, womöglich werden zum Erscheinen dieses Blog-Beitrags bereits entsprechende Updates vorliegen.
Aber eigentlich geht es darum gar nicht so sehr – es sollte Standard sein, dass sich Hersteller um das Schließen von Lücken auch auf tragbaren Plattformen kümmern. Schlimmer ist viel mehr, dass wir gerade dabei sind, den ständig leistungsfähiger werdenden Smartphones unser halbes Leben anzuvertrauen. So gibt es längst Menschen, die wickeln über Blackberry, Symbian, Windows Mobile, iPhone oder Android ihre Bankgeschäfte von unterwegs ab, speichern zum Einkauf in virtuellen Softwareläden ihre Kreditkartennummern auf den Handys ab oder lagern geschäftlich brisante E-Mails. Beim iPhone-Browser Safari kann man inzwischen sogar bequemerweise Web-Passwörter in einer Zwischenablage parken.
Die Hauptangriffsfläche begründet sich dabei aktuell nicht aus Internet-Attacken (wobei, siehe oben, das jetzt tatsächlich los gehen dürfte), sondern schlicht aus der Mobilität der Geräte. Ein Smartphone ist irre schnell verschwunden. Und gehören Sie zu den Leuten, die ständig einen PIN-Code verwenden, um das Gerät im Falle des Klaus zu schützen? Das tun die Wenigsten.
Klaro, Funktionen wie sicheres Löschen im Diebstahlfall oder das clevere "Find My Phone" per GPS sind erste Schritte. Zur neu notwendigen Smartphone-Sicherheit bedarf es aber vor allem eines Mentalitätswechsels. Vielleicht sollte man auf die Geräte Geld abladen, wie man das aus Japan kennt, damit sie auch wirklich als das begriffen werden, was sie längst sind: Jeden Tag wertvoller werdende Teile unserer Identität. (wst)
