Die Entwicklung der mobilen IT-Sicherheit befasst sich damit, wie sich die Bedrohungen für Telefone, Netzwerke und Nutzer von analogen Systemen zu Smartphones verändert haben. Analoge Netzwerke hatten keine Verschlüsselung und ermöglichten es jedem in der Nähe, Anrufe abzuhören. Zu den heutigen Risiken gehören bösartige Apps, Overlay-Angriffe, die Anmeldedaten stehlen, indem sie Anmeldebildschirme imitieren, übermäßige App-Berechtigungen und soziale Manipulationen wie Smishing. Der wichtigste Schutz ist, sich dieser Techniken bewusst zu sein.
Das Wichtigste in Kürze
- Analoge Mobilfunknetze übertrugen Anrufe unverschlüsselt, so dass ein Abhören nur durch einen nahegelegenen Empfänger möglich war - eine Schwachstelle, die den Wechsel zu kryptografischen Standards in späteren Generationen vorantrieb.
- Overlay-Angriffe auf Android nutzen legitime App-Berechtigungen aus, um unsichtbare Eingabefelder über Anmeldebildschirme zu legen und so Bank- und Social-Media-Zugangsdaten abzufangen, ohne dass der Nutzer etwas merkt.
- Der Hauptmechanismus, auf den sich Angreifer verlassen, um sensible Daten von Smartphones abzugreifen, besteht darin, dass Nutzer/innen alle App-Berechtigungen akzeptieren, ohne sie zu lesen, weil Bequemlichkeit wichtiger ist als Vorsicht.
- Regierungen haben von den Plattformbetreibern Metadaten für Push-Benachrichtigungen angefordert und damit bewiesen, dass auch Daten, die weithin als nicht sensibel gelten, das Verhalten und die Verbindungen der Nutzer/innen offenlegen können.
- Der Zwang, ältere Android-Versionen und veraltete Netzwerktechnologien weiterhin zu unterstützen, um Nutzer/innen zu bedienen, die nicht aufrüsten können oder wollen, sorgt dafür, dass bekannte IT-Sicherheitslücken in ganzen Bevölkerungsgruppen aktiv sind.
Von einer Sieben-Tage-Batterie zum Taschencomputer
Die mobile IT-Sicherheit begann in einer Zeit, in der ein Telefon nur eine Aufgabe hatte: telefonieren und eine Woche mit einem einzigen Akku überleben. Das alte Nokia 3310 wurde zur Ikone dieser Zeit, langlebig genug, um das Interesse seines Besitzers an ihm zu überleben. IT-Sicherheit war kaum ein Thema, denn das Gerät war kaum angreifbar.
Das änderte sich, als das Telefon zu einem Computer wurde. Das heutige Smartphone bündelt Sensoren, Zahlungsdaten, Messaging und Identität in einem Gegenstand, den man überallhin mitnehmen kann. Die Angriffsfläche wuchs mit dem Funktionsumfang, und die IT-Sicherheit musste nachziehen.
Bartosz Czernic-Goławski, Experte für Penetrationstests und Sicherheitsaudits, unterteilt die mobile Sicherheit in drei Ebenen: die Netzwerke, die Apps und die Menschen. Jede Ebene hat ihre eigene Geschichte mit Fehlern und jede lehrt etwas darüber, wie man die nächste Generation sicherer gestalten kann.
Mobile Netzwerke hatten von Anfang an ihre Schwächen
Die frühen analogen Netze hatten keine Verschlüsselung, so dass jeder, der sich nahe genug am Telefon befand, das gesamte Gespräch mithören konnte. Die Anrufe wurden unverschlüsselt übertragen. Das Abhören erforderte Nähe und Ausrüstung, sonst nichts.
Die Menschen waren in dieser Zeit genauso kreativ. In den 1980er und 1990er Jahren nutzte eine Gruppe, die sich Telefonfreaks nannte, bestimmte Töne und Frequenzen, um Telefonzentralen zu manipulieren. Sie konnten einer AT&T-Vermittlungsstelle signalisieren, dass ein Anruf beendet wurde, während die Leitung offen blieb, und dann einen kostenlosen Anruf von den USA nach Europa tätigen. Das System glaubte, die Leitung sei frei, die Freaks wussten es nicht, und Ferngespräche, die damals ein Vermögen kosteten, wurden umsonst geführt.
Moderne Netze schlossen diese Lücken Schritt für Schritt. Mit LTE und 5G kamen echte Verschlüsselungen, verschlüsselte Anrufe und ein sicherer Austausch von IT-Sicherheit zwischen den Telekommunikationsbetreibern. SIM-Karten sind besser geschützt. Die Konstruktionsfehler, die bei GSM gemacht wurden, sind bei 2G immer noch vorhanden, weshalb ein altes Telefon nicht automatisch ein sicheres Telefon ist.
Warum alte Handys nicht die sichere Wahl sind, die du vielleicht erwartest
Ein altes Telefon zwingt dich zu einer alten Technologie, und alte Technologie hat alte Fehler. Ein Gerät, das nur Anrufe tätigt, ist immer noch auf GSM angewiesen, mit all den Designschwächen, die dieser Standard nie abgelegt hat. Die Möglichkeiten zum Abhören und Abfangen von Nachrichten, die 5G bietet, bleiben bei 2G einfach bestehen.
Der Anreiz ist verständlich. Die Menschen werden der ständigen Überwachung überdrüssig und erwägen, das Smartphone gegen ein einfaches Telefon einzutauschen, mit dem sie nur telefonieren können. Das Geschäft mit der Bequemlichkeit ist real, und der Drang, davon wegzukommen, auch.
In einigen Ländern, darunter auch Polen, funktioniert GSM noch, so dass ein einfaches Telefon vorerst noch nutzbar ist. Aber die Überdeckung variiert von Land zu Land, und die Betreiber werden die älteren Netze irgendwann abschalten. Das schafft ein eigenes Problem für Menschen, die ihre Geräte nie austauschen, ein Problem, das die Entwicklung neuer Systeme beeinflusst.
Wie mobile Apps zu einer Angriffsfläche wurden
Die IT-Sicherheit von Apps musste vom ersten iPhone an aus Versehen erlernt werden. Die ersten Plattformen enthüllten sensible Informationen auf eine Art und Weise, mit der die Entwickler nicht gerechnet hatten, und die sicheren Muster kamen erst zum Vorschein, als die unsicheren bereits Schaden anrichteten.
Auf Android konnte eine App eine andere dazu zwingen, sensible Daten über offene Schnittstellen weiterzugeben. Entwickler mussten lernen, was eine App preisgeben darf und was sie unter Verschluss halten muss. Push-Benachrichtigungen, eine neuere Funktion, brachten eine neue Lektion: Sensible Daten gehören nicht in eine Benachrichtigung.
Der Fall der Push-Benachrichtigungs-Metadaten machte das Thema öffentlich. Regierungen, darunter auch US-Behörden, forderten von Apple und Google Metadaten zu Push-Benachrichtigungen an. Viele gingen davon aus, dass in diesem Kanal keine sensiblen Daten enthalten sind. Das war aber der Fall. Das Muster wiederholt sich in der Geschichte der Plattform: eine Funktion einführen, das Leck entdecken, daraus lernen und es dann beheben.
Android und iOS verteilen das Risiko unterschiedlich
Die Offenheit von Android macht die Verbreitung von Schadprogrammen einfacher. Du kannst eine APK direkt installieren, was die Hürde senkt, einen Nutzer zur Installation von Schadprogrammen zu verleiten. Bösartige Apps tauchen im Play Store auf, und das Side-Loading bietet Angreifern einen weiteren Weg. Die Sicherheit des Android-Ökosystems zu gewährleisten, war in der Vergangenheit schwieriger als bei dem kontrollierteren iOS-Modell.
bei iOS liegt die IT-Sicherheit in den Händen von Apple, was den Store sauberer hält, aber die Plattform nicht immun macht. Der Missbrauch von Zugänglichkeitsdiensten ist ein aktuelles Problem bei iOS. Das Gleiche gilt für übermäßige Berechtigungen, bei denen Apps viel mehr Zugriff verlangen, als sie zum Funktionieren brauchen.
Der European Digital Markets Act verlangt nun von Apple, alternative App Stores auf iOS zuzulassen, um Monopolen entgegenzuwirken. Ob das zur Sicherheit der Nutzer/innen beiträgt, ist eine offene Frage. Alternative Stores mögen ihre Apps gut verifizieren, aber die Geschichte des Play Stores zeigt, dass die Öffnung des Vertriebs die IT-Sicherheit nicht einfacher, sondern schwieriger macht.
Overlay-Angriffe bringen vertraute Apps gegen dich auf
Ein Angreifer legt eine gefälschte Ebene über eine legitime App, und unter Android macht die Erlaubnis, andere Apps zu überlagern, dies möglich. Bei Messaging-Apps bist du daran gewöhnt, dass Chatblasen und Pop-ups über deinen Aktivitäten schweben, sodass eine zusätzliche Ebene nicht fehl am Platz wirkt.
Der Exploit zielt auf die Gewohnheit ab. Ein Anmeldebildschirm platziert seine E-Mail- und Passwortfelder immer an der gleichen Stelle. Ein Angreifer malt die Eingabefelder genau an diese Stellen. Du glaubst, dass du deine Facebook-Zugangsdaten bei Facebook eingibst. Du gibst sie in das Overlay ein, und die Daten sind weg.
Der gleiche Trick funktioniert nicht nur in sozialen Medien, sondern auch in Banking-Apps. Angreifer wissen, welche Apps die Menschen tatsächlich nutzen und bauen ihre Fälschungen auf diesem Wissen auf.
Übermäßige Berechtigungen verwischen die Grenze zwischen Nutzung und Missbrauch
Die schärfste Frage ist heute, wo die Gebrauchstauglichkeit endet und der Missbrauch beginnt. Ein Telefon verfügt über GPS, Mikrofon, Beschleunigungsmesser und mehr, und diese Sensordaten werden oft nicht als sensibel behandelt. Das sollten sie aber sein.
Ein konkretes Beispiel ist die Versicherung. Ein Unternehmen verspricht vielleicht einen besseren Preis für einen guten Treiber und rechtfertigt dann die Überwachung deiner Sensoren, um zu definieren, was gutes Fahren bedeutet. Das Handy meldet, wie oft du stark bremst, ob du zu schnell fährst und wohin du fährst. Das ständige Sammeln dieser Daten und das, was danach damit gemacht wird, geht weit über den einfachen Kauf eines Telefons hinaus, mit dem du deine Familie anrufen kannst.
Erlaubnisanfragen sind erfolgreich, weil die Nutzer ungeduldig sind. Wenn du eine Taschenlampen-App willst, akzeptierst du alles, was sie verlangt, ohne die lange Liste zu lesen. Sowohl Angreifer als auch aggressive Apps nutzen diese Müdigkeit aus. Derselbe soziale Druck hält Menschen bei WhatsApp, obwohl Signal oder Telegram die sicherere Wahl wären. Die Bequemlichkeit siegt, und die Daten fließen.
Was dich wirklich einigermaßen sicher macht
Aufklärung ist die beste Verteidigung, denn wenn du die Techniken kennst, die Angreifer einsetzen, ändert sich dein Verhalten. Du kannst zwar nicht kontrollieren, was ein Unternehmen mit deinen Daten macht, aber du hast die Wahl, wie du die häufigsten Angriffe abwehrst.
Auf iOS decken ein paar Gewohnheiten den Großteil des Risikos ab:
- Das Gerät nicht jailbreaken.
- Installiere keine Apps aus unbekannten Quellen.
- Behandle Genehmigungsanfragen als Entscheidungen, nicht als Formalitäten.
Wenn du die Techniken kennst, bist du ziemlich sicher. Vielleicht nicht ganz so sicher, wenn du ein Präsident oder so bist. Bartosz Czernic-Goławski
Dieser Vorbehalt markiert die Grenze zwischen normalen Nutzern und hochrangigen Zielen. Kommerzielle Spionageprogramme wie Pegasus haben die Bedrohung für Politiker und andere wichtige Personen vergrößert, die nun mit Angriffen rechnen müssen, denen ein durchschnittlicher Nutzer nie ausgesetzt ist. Für die meisten Menschen besteht die alltägliche Gefahr nicht in staatlicher Spionagesoftware.
Soziale Manipulation ist die größere alltägliche Bedrohung
Für normale Bürgerinnen und Bürger richten Social Manipulation Kampagnen mehr Schaden an als exotische Exploits. Smishing und Phishing zielen direkt auf deine Zahlungskartendaten ab oder bringen dich dazu, eine schädliche App zu installieren. Die Angreifer setzen auf Vertrauen und Routine und nicht auf einen technischen Fehler.
Das Klonen von Apps verschlimmert das Problem. Angreifer kopieren eine offizielle App, verändern sie und verbreiten sie weiter. Das Motiv ist nicht immer der Diebstahl deiner Daten. Manchmal ist es das Ziel, sich einen Vorteil gegenüber einem Unternehmen zu verschaffen.
Das Beispiel Ride-Hailing zeigt, wie das abläuft. Die Leute bauen modifizierte Fahrer-Apps, die den Standort des Fahrers vortäuschen. Ein Fahrer, der weit vom Stadtzentrum entfernt ist, kann so aussehen, als wäre er ganz in der Nähe, so dass die App dir sagt, dass der Fahrer in fünf Minuten ankommt, obwohl die tatsächliche Entfernung fünfzehn Minuten beträgt. Die Treiber nutzen diese Tools, weil bestimmte Abholungen besser bezahlt werden und ein Fahrpreis aus dem Stadtzentrum besser ist als einer aus den Vororten. Der gefälschte Standort verschiebt die wirtschaftlichen Verhältnisse zu Gunsten des Treibers und zu Lasten des Fahrgastes.
