Von Nokia zum iPhone: Was Pen-Tester gelernt haben

Dein Smartphone weiß, ob du zu stark bremst, wie schnell du auf der Autobahn fährst und wo genau du dich gerade aufhältst - und die Versicherungen wollen diese Daten, um den Preis für deine Police festzulegen. Die mobile IT-Sicherheit hat sich seit den Zeiten, in denen Telefonfreaks spezielle Töne für kostenlose Auslandsgespräche nutzten, stark weiterentwickelt, aber das Grundproblem bleibt bestehen: Nutzer/innen akzeptieren Berechtigungen, die sie nicht verstehen, für Apps, die mehr verlangen, als sie brauchen. Von Overlay-Angriffen, die Bankdaten stehlen, bis hin zur Europäischen Union, die Apple zwingt, alternative App Stores zuzulassen, wird die Grenze zwischen Gebrauchstauglichkeit und Missbrauch jedes Jahr dünner.

Podcast Episode: Von Nokia zum iPhone: Was Pen-Tester gelernt haben

In dieser Folge spreche ich mit Bartosz Czernic-Goławski, einem Experten für Penetrationstests und Cybersicherheit, darüber, wie sich die mobile Sicherheit von Nokias unzerstörbaren Backsteintelefonen zu den heutigen Computern im Taschenformat entwickelt hat. Wir zeichnen den Weg von analogen Netzwerken, die jeder abhören konnte, bis hin zu modernen Smartphones nach, die übermäßige Berechtigungen verlangen und jede Sekunde Sensordaten sammeln. Bartosz verrät, wie Angreifer mit Overlay-Angriffen Bankdaten stehlen, warum iOS-Nutzer nicht so sicher sind, wie sie denken, und was wir von den Telefonfreaks der 1980er Jahre über die Schwachstellen von heute lernen können.

"Angreifer wissen, mit welchen Apps wir arbeiten, die wir benutzen, und sie nutzen das aus." - Bartosz Czernic-Goławski

[Bartosz Czernic-Goławski (http://www.linkedin.com/in/bartosz-czernic-go%C5%82awski) ist ein nicht-funktionaler Tester mit sechs Jahren Berufserfahrung, der derzeit bei Pentacomp als Sicherheitsauditor und Penetrationstester arbeitet. Er hat einen Abschluss als Ingenieur in Telekommunikation und einen Master in Angewandter Informatik mit Spezialisierung auf Cybersicherheit - beides an der Technischen Universität Warschau erworben.In seiner Arbeit konzentriert er sich auf die IT-Sicherheitstests der von Pentacomp entwickelten Systeme sowie auf die Durchführung von Penetrationstests und Audits für externe Organisationen. Auf kommerzieller Ebene hat er mobile, Web- und Desktop-Anwendungen sowie IT- und OT-Umgebungen getestet. Er hatte die Gelegenheit, Systeme, die täglich von Millionen von Menschen in Polen genutzt werden, sowie Komponenten kritischer Infrastrukturen zu prüfen.Er führt auch Schulungen zur IT-Sicherheit durch, insbesondere zu sicheren Arbeitsmethoden und zur Konformität mit Anforderungen wie NIS2.

Highlights der Episode

• Moderne Smartphones sind Computer, die ständig Sensordaten sammeln und damit die Grenzen zwischen Gebrauchstauglichkeit und Überwachung verwischen.
• Die Offenheit von Android erleichtert die Verbreitung von Schadprogrammen, während iOS-Beschränkungen von vornherein für mehr IT-Sicherheit sorgen.
• Overlay-Angriffe legen gefälschte Anmeldebildschirme über echte Apps und stehlen Anmeldedaten von Banking-Apps.
• Alte GSM-Netze funktionieren zwar noch, sind aber nicht verschlüsselt, so dass Gespräche leicht abgehört werden können.
• App-Berechtigungen nutzen die Faulheit der Nutzer/innen aus - sie akzeptieren alles, ohne zu lesen, was sie damit zulassen.

Die Entwicklung der mobilen IT-Sicherheit: Von unzerstörbaren Nokias zu Smartphones in unseren Taschen

Die Art und Weise, wie wir unsere Telefone benutzen, hat sich in den letzten zwei Jahrzehnten dramatisch verändert. In dieser Folge von "Software Testing Unleashed" unterhält sich Gastgeber Richie mit dem Experten für Cybersicherheit und Penetrationstests Bartosz Czernic-Goławski über die Entwicklung der mobilen Sicherheit, was diese Entwicklung vorantreibt und woran Nutzer und Entwickler denken sollten, um sicher zu sein.

Von einfachen Handys zu leistungsstarken Computern

Man kann sich kaum noch an die Zeit erinnern, als unsere Telefone einfach nur das waren - Telefone. Bartosz Czernic-Goławski und Richie erinnern uns daran, wie das berühmt-berüchtigte "unzerbrechliche" Nokia 3310 eine Woche lang eine Ladung halten konnte und im Ernstfall sogar als Ziegelstein dienen konnte. Sein Zweck war klar und begrenzt: Anrufe tätigen, SMS versenden und vielleicht ein oder zwei Spiele spielen. Die IT-Sicherheitsrisiken waren minimal, vor allem, weil die Möglichkeiten für "Hacks" so begrenzt waren: Das Abhören von analogen Anrufen, wenn man über eine spezielle Ausrüstung verfügte, war so ziemlich das Einzige, was möglich war.

Mit der Entwicklung unserer Geräte zu vollwertigen mobilen Computern hat sich auch die Art und Schwere der Bedrohungen verändert. Heutige Smartphones können alles, vom Online-Banking über die Speicherung vertraulicher Dokumente bis hin zur Ortung unseres Standorts und der Steuerung unseres Smart Homes - und damit sind ihre Schwachstellen für Angreifer viel attraktiver.

The Expanding Attack Surface: Geräte, Apps und Netzwerke

Bartosz Czernic-Goławski zufolge geht es bei der IT-Sicherheit nicht nur um die Geräte, sondern auch um die Netzwerke, Apps und vor allem um die Nutzer. Die Entwicklung von analogen Netzen, in denen Telefonbetrügereien mit einfachen Tricks wie Phreaking (Töne verwenden, um das Vermittlungssystem zu täuschen, damit es kostenlose Anrufe freigibt) durchgeführt wurden, zu den heutigen LTE- und 5G-Verbindungen hat zu starken kryptografischen Protokollen und einer erheblich verbesserten IT-Sicherheit geführt. Die neuen Möglichkeiten bringen jedoch auch neue Risiken mit sich.

Eine wichtige Erkenntnis ist, dass alte Fehler oft in neuer Form wieder auftauchen. Wo früher ein einfacher Lauscher analoge Gespräche abhören konnte, können heute ausgeklügelte Schadprogramme oder soziale Manipulationen moderne mobile Plattformen auf weitaus invasivere Weise kompromittieren. So nutzen Angreifer bei Android das offene Ökosystem aus, um bösartige Apps in die offiziellen App-Stores einzuschleusen oder Nutzer/innen durch soziale Manipulationen zur Installation von Schadprogrammen zu verleiten.

Bösartige Apps und Berechtigungen: Die versteckten Gefahren

Ein immer wiederkehrendes Thema in der mobilen IT-Sicherheit sind Berechtigungen und Nutzerverhalten. Bartosz Czernic-Goławski weist darauf hin, dass die Offenheit von Android die Verbreitung bösartiger Apps erleichtert - es ist für Nutzer/innen einfach, alles herunterzuladen und zu installieren, auch aus inoffiziellen Quellen. Auf der anderen Seite ist iOS nach wie vor viel strenger, aber regulatorische Änderungen (wie das EU-Gesetz über digitale Märkte) zwingen es dazu, sich zu öffnen - mit unvorhersehbaren Folgen für den Durchschnittsnutzer.

Ein weiteres Risiko sind übermäßige App-Berechtigungen. Viele Apps verlangen weit mehr Zugriff auf dein Gerät als nötig - GPS, Mikrofone und sogar Overlay-Funktionen, die missbraucht werden können, um deine Daten zu stehlen. Bartosz Czernic-Goławski beschreibt Overlay-Angriffe, bei denen eine bösartige App einen Anmeldebildschirm über einen legitimen Bildschirm legt und so deine Anmeldedaten abfängt, wenn du denkst, dass du dich bei Facebook oder deiner Banking-App anmeldest.

Abwägung zwischen Datenerfassung und Datenschutz

Bei der mobilen IT-Sicherheit geht es nicht nur um Schadprogramme, sondern auch darum, wie sehr wir uns von Unternehmen überwachen lassen. Versicherungsunternehmen wollen zum Beispiel zunehmend auf die Sensoren unseres Handys zugreifen, um unser Fahrverhalten zu bewerten und Rabatte zu gewähren - was die Frage aufwirft, wo Bequemlichkeit und Datenschutz auseinanderklaffen. Die von unseren Geräten gesammelten Daten können an Orten landen, die wir nie beabsichtigt haben, von KI-Trainingssets bis hin zu schattigen Ecken im Internet.

Awareness ist unsere beste Verteidigung

Die Botschaft, die beide Experten betonen, ist, dass Bewusstsein immer noch der stärkste Schutz ist. Wir sollten hinterfragen, was Apps wirklich brauchen und ob die Bequemlichkeit die Berechtigungen wert ist, die wir gewähren. Bequemlichkeit siegt oft, aber wie Bartosz Czernic-Goławski sagt, ist das Wissen um die Risiken die halbe Miete.

So sehr sich die Technik auch weiterentwickelt, einige Dinge bleiben gleich: Menschliche Fehlhandlungen und Nutzergewohnheiten sind oft das schwächste Glied. Ob es darum geht, sichere Passwörter zu wählen, die Berechtigungen von Apps zu hinterfragen oder sich für datenschutzfreundliche Alternativen zu entscheiden: Informiert zu bleiben ist die beste Möglichkeit, Risiken zu minimieren.

Egal, ob du aus Nostalgie an einem alten Nokia festhältst oder dein Leben komplett über dein Smartphone lebst, die Entwicklung der mobilen IT-Sicherheit betrifft uns alle. Wie Richie zusammenfasst, sind die Computer, die wir in unseren Taschen tragen, ebenso leistungsfähig wie potenziell angreifbar. Wenn wir aufmerksam - und ein bisschen skeptisch - sind, können wir sie gut schützen.