Wie sichere ich mein Smartphone ab?

Beim Schreiben dieses Artikels fällt es mir schwer eine klare Linie zu ziehen zwischen dem Nutzen eines Features und dessen potenzielle Gefahr. Der Einsatz, der meisten im Folgenden genannten Dienste und Features, wird wohl im Ermessen des Nutzers bleiben. Meine Ausführungen dienen eher zur Orientierung und Schärfung der Sicht auf die Technik.

Sicherheitssperre

Hier haben wir mehrere Möglichkeiten. Die Sicherheitssperre früher war bei den Nokia Handys das lange gedrückt halten der Stern oder Raute Taste (ich kann mich nicht mehr genau erinnern). Mehr auch nicht. Heute sind Smartphones so vielseitig, dass man damit sehr viel Unfug anstellen kann. Also haben sich die Hersteller überlegt, dass diese Geräte per Passwort, PIN oder was auch immer gesichert werden sollten. Folgendes ist derzeit möglich (aber nicht bei allen Modellen!)

  • PIN 4 oder 6 stellig: Mäßige Sicherheit, aber 6 Stellen sind für moderne Rechner auch kein Problem. Zumal ausschließlich die Ziffern zwischen 0 und 9 verwendet werden. Außerdem: PINs lassen sich über das Auslesen der Neigungs- und Beschleunigssensoren erraten! (Ja ja, da muss vorher eine Software vorhanden sein, die alles lesen kann.)
  • Passwort: Wesentlich besser, da hier auch Buchstaben und sogar Sonderzeichen verwendet dürfen. Das stärkt den Schutz vor Zugriffen enorm und ist mein Favorit!
  • Muster: Interessant und einigermaßen sicher, aber leider etwas schwach. Die meisten Muster erlauben 9 Knoten und innerhalb dieser muss man ein Muster zusammenbauen. Anders als bei Passwörtern, die aus vielen unterschiedlichen Elementen bestehen, so ist das Muster lediglich eine Zusammensetzung von Linien. Das eigentliche Problem wird aber sein, dass wir Menschen sind und unsere Muster einfach ausfallen, sodass wir uns diese merken können.
  • Fingerabdruck: Was macht ein Passwort aus? Es ist etwas geheimes, dass niemand sonst kennt. Der Fingerabdruck ist mittlerweile im Personalausweis oder Reisepass gespeichert. Außerdem hinterlassen wir ihn überall sonst, sogar auf dem Telefon. Das wäre, wie wenn wir die PIN auf einem Zettel auf der Rückseite des Telefons kleben, damit wir es entsperren können!
  • Gesichtserkennung: Wurde bereits mit einer Latexmaske geknackt. Es reichen ein paar Bilder der Zielperson und schon lässt sich das Muster für die Kamera des Gerätes zusammenbauen. Paranoid? Ja, aber möglich.

Mein Favorit ist und bleibt das Passwort, da ich hier die meisten Möglichkeiten habe und ein Bruteforce Angriff lange dauern wird. Gleichzeitig ist mir bewusst, dass auch hier jede Menge Blödsinn passieren kann, denn „test123“ ließe sich auch als Passwort verwenden. Am Ende sehen wir, dass letztlich wieder der Mensch die Schwachstelle ist. Um das Problem einigermaßen in den Griff zu bekommen habe ich vor längerer Zeit bereits gezeigt wie man ein Passwort erstellt, dass man sich merken kann.

Funkverbindungen

Wie spricht mein Smartphone mit der Außenwelt? Mittlerweile über drei mögliche Wege und alle sind manchmal gefährlich, schließlich sind es die ein- und ausgehenden Daten, die hier gefährlich werden können.

  • WLAN: Wie wir es alle lieben uns mit kostenlosen WLAN Netzwerken zu verbinden. Es kostet uns keinen teuren Traffic über LTE und HSDPA oder UMTS und in Deutschland leider noch sehr oft sogar EDGE. Was macht aber öffentliche WLANs gefährlich?
    • verschlüsselungslose Netzwerke werden im Smartphone speziell behandelt und fragen laufend aktiv nach ihnen. („Bist du da ‚HeathrowWifi‘?)
    • Gefahr: spezielle Geräte wie das WiFi Pineapple antworten mit „Ja hier bin ich!“
    • Problem: die entstandene Verbindung ist nun offen und für jeden einsehbar
    • Problem: mögliche Verschlüsselungen können durch das WiFi Pineapple unterbrochen werden, sodass der Betreiber des Gerätes alles im Klartext sieht (Banking, Passwörter etc.)
    • Android: Gespeicherte WLAN Netzwerke können hier einzeln gelöscht werden. Zumindest konnte ich das bei Samsung, LG und Huawei feststellen. Dadurch lässt sich die Fragerei nach den Netzwerken deaktivieren.
    • iOS: Hier liesen sich meiner Erfahrung nach keine Netzwerke löschen. Von daher bleibt bei iOS meine Empfehlung: WLAN ausschalten, wenn man es nicht braucht!
  • Bluetooth: Wir steigen in unsere Fahrzeuge und haben die Freisprecheinrichtung, sowie unsere Lieblingsmusik über die Analge des Autos ohne auch nur einen Finger zu krümmen. Was könnte uns das Leben hier erschweren? Sogenannte Blueborne Angriffe.
    • Angriff findet ohne Apps, Links oder Pairingvorgänge statt
    • Angriffe ermöglicht komplette Kontrolle über das Gerät
    • Infizierung erfolgt über aktivem Bluetooth und infiziert alle im Umkreis befindlichen und potenziell angreifbaren Smartphones
    • Android: vier aktive Sicherheitslücken vorhanden
    • iOS: nach iOS 10.x nicht mehr gefährlich

Generell gilt für mich für alle Funkverbindungen eine Regel: Abschalten, wenn man sie nicht benötigt! Nicht explizit erwähnt habe ich NFC, da diese Technik nur eine geringe Reichweite hat. Trotzdem halte ich es für nötig auch hier NFC einfach abzuschalten. Spätestens dann, wenn Kreditkartendaten auf dem Smartphone gespeichert sind, um NFC Zahlungen mittels Smartphone durchzuführen.

Und nur weil innerhalb von iOS aktuell keine Sicherheitslücken in Sachen Blueborne Angriff bekannt sind, heißt das nicht, dass keine existieren.

Applikationen

Fluch und Segen sind die beliebten Apps aller Stores. Vor allem fremde Stores, die mit kostenfreien Versionen locken. Hier gibt es vor allem im Android Bereich ein paar wichtige Dinge zu beachten, denn nicht immer ist der Playstore von Google ganz sauber. Hin und wieder schleichen sich Bösewichte ein. Wie kann man sich davor schützen? Schwierig zu sagen, aber in jedem Fall kann man als Benutzer mit einem funktionierenden Hirn so einiges erreichen.

  • Entwicklermodus deaktivieren: Es kann erst einmal nicht viel passieren, aber über den Entwicklermodus lassen sich viele Dinge von Außen steuern. Um hier unbekannten Exploits zu vorzukommen, sollte dies deaktiviert werden (teilweise USB Debugging Modus)
  • Unbekannte Quellen: Aus unbekannten Quellen zu installieren bedeutet, man traut anderen Stores, außer dem Playstore. Hier rate ich zu äußerster Vorsicht, auch wenn es mit dem Amazon Underground Store scheinbar einen „guten“ Store gibt.
  • Rechte der Apps prüfen: Vor allem bei Apps aus fremden Stores, aber auch aus dem Playstore heraus empfehle ich immer die Rechte zu prüfen, die eine App haben möchte. Ist es unbedingt nötig, dass eine Kamera-App SMS versenden darf, oder die Geokoordinaten des Telefons erfährt? Im Zweifel bitte immer das Recht verwehren.

Allgemeines

  • Datenspeicherung: Ob lokal oder Cloud ist Ansichtssache und eigentlich kein IT Sicherheitsproblem. Es geht hier eher um Datenschutz. Lokal gesicherte Daten gehen beim Verlust des Gerätes verloren. Clouddaten gehen bei einem Hack des Anbieters nicht verloren, werden aber unter Umständen publik. Alternativ sieht der Cloudanbieter, welche Daten hochgeladen worden sind. Ich kann leider keinen Tipp geben, das muss jeder selbst entscheiden.
  • QR Codes: So ziemlich jedes Smartphones liest die überall verteilten QR Codes, die meistens eine URL codieren. Das spart Zeit, da man nicht alles mühsam abtippen muss. Leider hat es sich zum Standard entwickelt, dass ein QR Code, wird er als URL erkannt, automatisch aufgerufen wird. Damit lässt sich viel Unfug betreiben, denn wenn ich als Angreifer potenzielle Opfer infizieren möchte, so entwickle ich eine Webseite, die ein bloßes „ansurfen“ benötigt, um Malware auf ein Smartphone zu verteilen. Finger weg, oder stellt sicher, dass ihr selbst entscheiden könnt, was mit den Informationen im QR Code geschehen sollen.
  • Jailbreaking / Rooting: Ein Smartphone, welches dem User volle administrative Rechte verleiht, ist vergleichbar wie ein Windows Notebook. Der User darf alles und wird auch alles tun, so auch Malware, die er herunterlädt und als Administrator ausführt. Seid bitte vorsichtig mit diesen administrativen Modi, denn „mit großes Macht kommt große Verantwortung“.

Fazit

Man könnte über die Sicherheit bei Smartphones noch wesentlich weiter gehen und ich bin mir sicher, dass dies schon jemand getan hat. Passende Lektüre dazu, sowie YouTube Videos gibt es wohl wie Sand am Meer. Aber zusammenfassend kann ich nur einen Tipp geben: Benutzt euer Gehirn und beschäftigt euch mit der Technik. Einfach nur Benutzen wird nicht reichen und wenn bis heute nichts passiert ist, dann hattet ihr einfach nur Glück.

Schaut hinter die Kulissen. Es wird euch Spaß machen und wer weiß, welche interessanten Features ihr dabei noch entdeckt.

Beitragsbild Android update von Eduardo Woo (verändert) Creative Commons CC-BY SA 2.0

Artikel teilen:

Kommentar verfassen