Mobile Bedrohungen
Seite 5: Fremde Hände
Fremde Hände
Früher war es bei dem Verlust oder Diebstahl eines Handys meist damit getan war, die SIM-Karte sperren zu lassen, um Missbrauch zu verhindern. Dies genügt bei Smartphones nicht mehr: Dort sind Zugangsdaten für Mail, Social-Networking-Seiten und weitere Apps hinterlegt, die beim Aufruf in der Regel ohne weitere Nachfrage automatisch benutzt werden. Ein Dieb hätte mit diesem Generalschlüssel Zugriff auf vielerlei Daten; konfigurierte WLANs und VPNs öffnen einem Angreifer zudem den Zugang ins Firmennetz oder ins heimische LAN. Schutz davor bietet allein die Zugangssperre des Geräts, die beim iPhone die Eingabe eines Passcodes oder einer Phrase und bei Android das Zeichnen eines Entsperrmusters oder ab Android 2.2 ebenfalls ein Kennwort erfordert.
Doch selbst wenn das Gerät vermeintlich gesperrt ist, bieten sich dem Schnüffler noch Möglichkeiten, zumindest an einige Daten zu gelangen. Das Android-Betriebssystem unterstützt einen USB-Debugging-Modus für Entwickler, über die der Zugriff auf Teile des Dateisystems möglich ist. Darüber lassen sich sogar Apps installieren und der sonst erscheinende Nachfragedialog für die Zugriffsrechte lässt sich umgehen. Jemand, der das Handy für kurze Zeit in die Hände bekommt, könnte auf diesem Wege unbemerkt eine Spionage-App installieren. Standardmäßig ist USB-Debugging deaktiviert.
Im Falle des Verlusts und der drohenden Kompromittierung der Daten gibt es noch die Notbremse aus der Ferne: per Remote Wipe lassen sich Adressbuch, Kurznachrichten und weitere Daten auf dem Gerät und der SD-Karte löschen und der weitere Zugriff blockieren. Bei Android muss man sich bei den meisten Smartphone-Anbietern dafür vor dem Verlust eine spezielle App wie WaveSecure installiert haben, die beispielsweise in eingehenden SMS-Nachrichten nach einer abgemachten Parole sucht und bei Erfolg die Daten löscht. Der Ansatz funktioniert leider nicht, wenn ein Spion vorher die SIM-Karte entfernt hat und das Gerät keine SMS mehr empfängt. Die App „Lost Phone“ hingegen versendet SMS-Nachrichten an die Handys von Freunden, wenn jemand die SIM-Karte gewechselt hat. Bei Apples iPhone lässt sich eine vom Besitzer initiierte Fernlöschung beziehungsweise Fernsperrung nur über eine Anbindung an den Dienst MobileMe realisieren – und die kostet 79 Euro Dollar pro Jahr.
Seit dem Modell 3GS nimmt das iPhone zwar eine durchgehende, für das System transparente Datenverschlüsselung des Flashspeichers vor. Dies dient aber weniger dem Schutz vor unbefugtem Zugriff, sondern hilft vielmehr bei der Fernlöschung die Daten schnell unbrauchbar zu machen. Statt nämlich auf einem iPhone beispielsweise 16 GByte mit Nullen zu überschreiben – was Stunden dauern kann – wird einfach der Schlüssel gelöscht. Da die Datenverschlüsselung transparent ist, können Unbefugte via Jailbreak über die USB-Schnittstelle im DFU-Mode (Device Firmware Update) Flashinhalte im Klartext auslesen, obwohl der eigentliche Speicherinhalt verschlüsselt ist. Aufpassen sollte man zudem, mit welchen Rechnern man sein iPhone für iTunes paart. Einmal geschehen, verbindet es sich später ohne weitere Eingabe eines Passcodes und lässt sich die Daten als unverschlüsseltes Backup herausziehen. Android sieht standardmäßig keinerlei Verschlüsselung vor; die Daten und Programme liegen immer im Klartext im Flash und auf der SD-Karte. Zusätzlichen Schutz bieten nur Krypto-Apps wie Notes und OI Safe, die Texte und Passwörter verschlüsseln.
Nicht nur diebische Hände sind eine Gefahr für das Smartphone, oft interessiert sich der Lebens- oder Geschäftspartner für das Gerät. Immer häufiger kommen dabei kommerzielle Spionageanwendungen wie FlexiSpy, Mobile Spy, MobiStealth ins Spiel, die geführte Telefonate, Inhalte von SMS und GPS-Daten an den Server eines Dienstleisters senden und sogar das Lauthören und Aufnehmen von Fotos unterstützen – ab 100 US-Dollar im Jahr.
