Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Im Juni 2004 tauchte die erste Schadsoftware für Mobiltelefone auf. Der vermutlich in Frankreich entwickelte "Cabir" verbreitete sich über Bluetooth auf Geräte mit Symbian-Betriebssystem. Der von Cabir angerichtete Schaden hielt sich in Grenzen, im Wesentlichen war der Schädling nur darauf bedacht, sich selbst weiterzuverbreiten.
Probleme
Dennoch stellte er die Hersteller von Virenschutz-Software vor Probleme. Deren Ingenieure waren darauf spezialisiert, Code für x86-CPU und vor allem Windows-Systeme zu analysieren. Mit Befehlen für ARM-Prozessoren und Symbian mussten sie sich erst vertraut machen.Heute hat sich das Bild gewandelt. Leistungsfähigkeit und Verbreitung von Smartphones sind enorm gestiegen. Auch die Nutzung hat sich geändert. So werden etwa mit dem Handy immer häufiger Einkäufe und Bankgeschäfte erledigt.
Entsprechend attraktiv sind Smartphones für Kriminelle geworden. Über 5.000 Mobil-Schädlinge sind inzwischen bekannt, Tendenz steigend. Gegenüber dem täglichen (!) Zuwachs von 45.000 bösartigen Programmen für herkömmliche Computer ist das zwar wenig, doch kann ein gekapertes Handy eine ungeahnte Hebelwirkung für organisierte Verbrecher und Cracker im Staatsauftrag entfalten.
Geheimdienste, Polizei, Steuerfahnder, ...
Letztere suchen vor allem Informationen (Geheimdienste, Polizei, Steuerfahnder) oder wollen (zer)stören (Armee). Erstere sind vorrangig an Geld interessiert. Der Weg vom Eindringen in ein System zum Geld ist bei Handys häufig kürzer, als bei herkömmlichen Computern. Denn die meisten Handys können "Mehrwertdienste" nutzen oder exotische Auslandsdestinationen anrufen (wo der Inhaber eines Gateways Ausschüttungen abzweigen kann). Mit der zunehmenden Verbreitung von E-Banking und Online-Shopping am Handy, m-payment und mobilen Zahlungsverfahren wie NFC vervielfachen sich die Betrugsvarianten.
TAN für E-Banking-Transaktionen
Immer häufiger werden die TAN für E-Banking-Transaktionen per SMS auf Handys übertragen. Dies soll Trojanern auf dem Computer des Kunden die Arbeit erschweren. Ist aber auch dessen Handy infiziert, haben die Verbrecher relativ leichtes Spiel.
Die Doppel-Infektion ist dabei einfacher, als vielfach angenommen. Einerseits werden Handys immer häufiger mit herkömmlichen Computern verbunden, sei es über USB oder Bluetooth. Das Handy mag als Modem, Fotoapparat oder MP3-Player dienen oder auch nur ein Software-Update benötigen, die Verbindung mit dem PC drängt sich auf. Ist eines der beiden Geräte von einem Schädling befallen, ist der Weg zur Infektion des anderen nicht weit.
Bei vielen Android-Geräten kann Software auch über einen gekoppelten Google-Account aufgespielt werden, eine Bestätigung am Handy ist gar nicht mehr erforderlich. Sind also Google-Account oder der PC gehackt, gelangt man relativ einfach aufs Handy.
Wlan
Andererseits haben immer mehr Smartphones auch WLAN mit an Bord. Dies ist für unerwünscht Neugierige sehr attraktiv. Einen WLAN-Zugangspunkt mit dem selben oder einem ähnlichen Namen wie ein bekannter, unverdächtiger Hotspot ist schnell eingerichtet - und schon kann Datenverkehr mitgelesen und beeinflusst werden.
Abhilfe würde die konsequente Verschlüsselung der Datenübertragung sorgen. Doch häufig wird das von Websites, Mail-Servern und anderen Diensten nicht standardmäßig aktiviert oder gar nicht unterstützt. Zudem sind die Zertifikate, die die Identität der Gegenstelle bestätigen sollen, nicht mehr unbedingt vertrauenswürdig. Bei potenziell unsicheren WLAN-Hotspots kann ein VPN (Virtual Private Network) schützen. Dabei wird der gesamte Datenverkehr verschlüsselt und über einen Server geleitet - und erst dort gelangen die Informationen unverschlüsselt ins Internet. Der Betreiber eines WLAN-Hotspots kann also nicht mitlesen oder beeinflussen.
"Privatkunden scheuen diese Kosten in der Regel."
"Der Haken an der Sache ist, dass ein VPN-Dienst Geld kosten, sofern er nicht bereits im Firmennetz verfügbar ist", meinte Sicherheitsberater Klaus Darilion von der Wiener Firma IPcom, "Privatkunden scheuen diese Kosten in der Regel." Zwar gibt es auch einige gebührenfreie VPN-Angebote, aber deren Qualität schwankt. Und das Vertrauensproblem wird lediglich vom Hotspot zum VPN-Betreiber verlagert.
Ein manipuliertes Mobiltelefon mit WLAN-Funktion kann außerdem in einem zuvor sicheren Netz Angreifern Tür und Tor öffnen. Somit muss sich ein Cracker nicht mehr durch die Firewall eines Ministeriums oder einer Bank quälen. Er infiziert Mobiltelefone der Mitarbeiter und wartet bis eines dieser Geräte in dem Betrieb über WLAN online geht und dabei von innen einen Port öffnet.
Wettrennen
Zudem können Handys Informationen liefern, die der Computer am Schreibtisch oder der Laptop nur selten haben: Wer wann wo mit wem was kommuniziert. Geodaten, SMS, E-Mail, Fotos, soziale Netzwerke und Aufzeichnungen von Telefonaten oder sogar nur in der Umgebung des Handys geführte Gespräche sind sehr attraktive für Informations-Diebe.
Also hat das Wettrennen der Hacker mit den Viren-Bekämpfern längst begonnen. Der österreichische Anti-Viren-Spezialist Ikarus wird noch im September einen kostenlosen Virenscanner für Android-Handys herausbringen. Für Businesskunden gibt es schon länger die Möglichkeit, den mobilen Datenverkehr unabhängig von Netzbetreiber oder Betriebssystem verschlüsselt über einen Proxy zu leiten (VPN) und zusätzlich von Ikarus auf Gefahren durchsuchen zu lassen.
"Der Primärfokus der Angreifer liegt zur Zeit ganz klar auf Android"
Mit Applikationen am Handy selbst startet Ikarus bewusst mit Googles Android. "Der Primärfokus der Angreifer liegt zur Zeit ganz klar auf Android", erläuterte Ikarus-CEO Joe Pichlmayr gegenüber dem WebStandard, "Insbesondere günstigere Prepaid-Modelle sind beliebte Ziele. Bei täglich (!) 500.000 neuen Android Telefonen ist der Markt für Angreifer einfach zu 'verlockend'."
Symbian tritt aufgrund rückläufiger Marktanteile langsam in den Hintergrund. Microsofts Windows Phone hat (im Unterschied zu den
PC-Betriebssystemen) einen viel zu geringen Marktanteil. Und Apples iOS profitiert in dieser Hinsicht vom geschlossenen System. Die Zahl der jailbreaked (und damit bereits gehackten) iPhones ist relativ gering und die Kontrolle der im App Store verfügbaren Software relativ rigide. Zumindest für Wirtschaftskriminelle sind Android-Ziele attraktiver.
Zero-Day-Exploits
Handy-Betriebssysteme sind meist deutlich sicherer gestaltet, als es frühe PC-Betriebssysteme waren. Dennoch musste Cabir im Jahr 2004 keine Zero-Day-Exploits und ungewöhnliche Systemzustände ausnutzen. Der Wurm suchte einfach nach anderen Bluetooth-Geräten, die sich freimütig zu erkennen gaben, und bat diese um die gefällige Erlaubnis sich hinüberzukopieren. Der Nutzer des Zielgerätes musste seine Zustimmung erteilen. Solange er sie verweigerte, war sein Handy sicher.
Dieses Bild hat sich bis heute kaum geändert. Die größte Schwachstelle in Sicherheitsbelangen ist und bleibt der Mensch. Zwar können auch Schwachstellen in der Software für Attacken ausgenutzt werden, aber wozu der Aufwand, wenn es auch einfach geht...
"Das schwächste Glied in der Kette wird angegriffen: Der User"
"Das schwächste Glied in der Kette wird angegriffen: Der User", so Pichlmayr, "Das kann so genanntes Social Engineering sein mit einer guten Phishing-Lüge." Auch vom PC bekannte Ansätze, wo Malware als "Flash-Player-Update" oder neuer Video-Codec untergejubelt wird, sind bekannt. "Das Handy-Betriebssystem selbst würde ein derartige Installation nicht zulassen", betont der Virenbekämpfer, "Es ist immer der User, der dem Angriffs-Tool alle erforderlichen Rechte einräumt."
Schlag nach bei Cabir.
Beliebt ist auch die Verfälschung legitimer Programme. 99 neue Angry Bird Levels können Freude bereiten - besonders Jenem, der ein bisschen Zusatzcode eingeschleust hat. Und natürlich gibt es auch in der Handy-Software selbst Schwachstellen, die ausgenutzt werden. IPhone-Inhaber genießen hier den Vorteil relativ schneller Updates durch Apple - wenn sie die Aktualisierungen auch einspielen. Aus Bequemlichkeit, Angst vor Datenverlust oder dem drohenden Verlust eines erfolgreichen Jailbreaks wird das aber von Manchen unterlassen.
Updates
Wer ein Android-Handy verwendet muss auf sein Update oft erschreckend lange warten. Denn die Hersteller reagieren unterschiedlich schnell. Häufig weisen Geräte, die von Netzbetreibern in Umlauf gebracht werden, speziell angepasste Software auf. Dann muss ein Update erst die Qualitätssicherung des Netzbetreibers durchlaufen. Dies verzögert die Schließung bereits bekannter Sicherheitslücken weiter, für ältere Modelle wird der Aufwand bisweilen ganz unterlassen. Hier haben Google und seine Partner noch Aufholbedarf.
Am Teuersten ist guter Rat aber, wenn der Telefonapparat selbst abhanden kommt. Beim Fall in die Badewanne oder Toilette sind vielleicht die Daten weg. Beim Liegenlassen oder einem Diebstahl geraten sie aber in falsche Hände, was weitaus schwerer wiegen kann. Selbstredend gibt es dafür schon eine Menge Apps. Sie ermöglichen das Löschen der Daten aus Ferne und/oder die (ungefähre) Lokalisierung des entschwundenen Objekts. "Das hilft aber höchstens bei Dieben, die das Handy selbst verkaufen wollen. Bei Spionage ist das nutzlos", weist Darilion auf, "Die Täter deaktivieren die Netzverbindung oder nehmen einfach den Akku raus. Oder sie ziehen schnell ein Speicherabbild und legen das Handy zurück." Dann ahnt das Opfer vielleicht nicht einmal etwas von dem erfolgten Datendiebstahl. (Daniel AJ Sokolov, derStandard.at, 25.9.2011)
Links
Mit derStandard.at/Mobil sind Sie unterwegs immer top-informiert - mit Liveberichten und Postings!
Errechnet Privacy-Score für jedes einzelne Programm und bewertet Rechte
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Mit Hilfe von Trojanern kann der ganze Rechner in die Kontrolle Dritter gelangen - Webcam inklusive
Sicherheitsexperten machen auf Sicherheitslücken bei vernetzten Kameras aufmerksam
Angriff zeigt Handlungsbedarf für Sicherheit von Internet-Verbindungen
Angeblich intensive Attacken auf staatliche Server
Seit Sonntag wurde Schadsoftware 70.000 Mal erkannt
Stundenlang kein Zugriff für Kunden der US-Bank
Größere Gefahr für die Sicherheit der USA als der Terrorismus
Googles hochdotierter Hacker-Wettbewerb Pwnium 3 sah keinen Sieger
ähm, nur mal so ne frage, ich kenn mich jetzt nicht wirklich mit der materie des breakens, crackens, .... aus
--> soll nicht heißen, dass das alles für mich unverständlich ist,
ABER: bei allen comments die ich mir da durchgelesen habe bin ich jetzt auch nicht wirklich klüger geworden. Die einzigen Tipps die mir da aufgefallen sind, waren: das Inet deaktivieren, wenn man es nicht braucht und nicht jedem App eine Berechtigung geben, wenn mir die Quelle nicht vertrauenswürdig erscheint (?)(bei Android)
Aja und iphone Apps sind etwas sicherer, weil sie einzig und allein vom Appstore bezogen werden können.
Falls noch jemand einen konstruktiven Tipp hat wäre ich wirklich dankbar.
@toxxxic
> das Inet deaktivieren, wenn man es nicht braucht
Das ist immer gut - besonders bei volumenbegrenzten Datentarifen, wo es dann sehr schnell sehr teuer werden kann.
Außerdem sehe ich kaum einen wirklichen Vorteil in der heutigen Seuche, alles auf einem kleinen Handydisplay machen zu müssen - vom "Internetsurfen", über Banking etc.
Noch dazu, wo auf den kleinen und damit diebstahl-/verlustträchigen Dingern auch immer mehr persönliche Daten gespeichert werden, die für Diebe sehr lukrative Ziele sind.
> nicht jedem App eine Berechtigung
Das ist auch ein guter Tipp - allerdings bist du auf die App-Ersteller angewiesen, die sehr oft (zu) viele (bzw. alle) Rechte anfordern, weil es beim Programmieren einfacher ist und man ...
...
dann evtl. Funktionen umschreiben/anders lösen oder die Default-Headervorlagen je nach App anpassen muß.
So hast du oft nur die Wahl, der App (alle) geforderte Rechte zu geben und diese zu installieren oder es eben zu lassen.
Natürlich mögen im Einzelfall auch bei bestimmten Rechteforderungen die Alarmglocken schrillen, wenn z.B. ein Währungsrechner Rechte für SMS etc. haben will.
Deshalb sehe ich die neuen Smartphones sehr kritisch:
Ich will ein Telefon zum Telefonieren und SMS versenden/empfangen.
Für alles Andere finde ich ein Netbook, wo ich mit einem Datenstick samt passendem Datentarif (ohne Kostenfallen) alle Programme wie am PC gewohnt und mit vernünftiger Auflösung nutzen kann und dabei auch via RDP-Session auf meine Daten ...
...
zu Hause zugreifen kann, ohne daß ich kritische Daten auf dem Netbook speichern muß.
Ein Netbook ist ein guter Kompromiß aus Größe, Funktionalität und Mobilität und man kann es bei Bedarf an alle wichtigen Orte mitnehmen.
Und wenn man es mal nicht mit haben kann/will, wird man wohl z.B. die Überweisung auch apäter am Abend machen können.
Früher haben die Menschen ohne Handy auch im Ausland überlebt und heute glauben zu viele, 24x7 online sein zu müssen.
Smartphones mögen für manche bequeme eierlegende Wollmilchsäue sein, die nebenbei fast auch noch kochen und putzen können, doch dann darf man sich nachher nicht beschweren, wenn dann mal die Küche explodiert.
Für geplagte des Datenlimit Problemes empfehle ich Wertkarten.
Ich nutze mein Nexus schon immer nur mit Wertkarte.
Früher hatte ich noch watchdog 3G der das Limit überwacht. IceCreamSandwich hat diese Warnung/Sperre jetzt direkt verbaut.
Gegen Raoming hilft die Wertkarte auch.
Teurer als ein Tarif ist sie auch nicht mehr.
Gute Frage! Vielleicht hilft dir http://en.wikipedia.org/wiki/IOS_... on_history weiter.
Eine bessere Übersicht habe ich nicht gefunden. Vermutlich interessieren dich bestimmte Datensätze, wie Updates für Gerätegruppe Y oder Generation X oder spezielle Mengen wie "Updates mit Patches für Angriffsvektor Z". Da müsstest du ein wenig Zeit investieren um an die gewünschten Zahlen zu kommen; nützlich wären auch oftmals unbekannte Daten bzgl. des Zeitraumes vom Bekanntwerden eines Defects hin zur Ausrollung eines Releases (mit Patch).
*Grobübersicht:*
Ende Juni 2007 wurde iOS 1.0 released. Bis heute wurden 41 Versionen released. Ohne die einzelnen Releases auf Release Dates herunterzubrechen ergibt das durchschnittlich 10 Releases pro Jahr.
6/41 der Updates enthalten den begriff Security, also rückt Apple ca 1x im Jahr mit einem diesbezüglich relevanten update raus.
Das halte ich jetzt nicht für ausreichend. egal wie hoch die Gefängnismauern bei ios jetzt sind.
Zugegeben, das sind jetzt keine zuverlässigen Methoden, wenn ich aber den Artikel kritisch & genau durchlese ...
Ich halte den Ansatz die Sicherheit eines System an der Anzahl der dafür verfügbaren Security Updates festzumachen für sehr vereinfacht und im Grunde genommen für falsch.
Security Updates sollten nicht ohne Kausalität erscheinen, sondern nur, weil das System eine entsprechende Schwachstellen aufweist. D.h. weniger ist gleich mehr. Ein System das wöchentlich Security Updates benötigt, würde bei mir doch auch ein gewisses Unwohlsein erzeugen. Anderseits zähle ich deutchlich mehr als 6 Security relevante Updates, plus diverse Sammelpatches die man gesondert zählen müsste.
So verbergen sich hinter der lapidaren "Security Fixes" Anmerkung bei iOS 4.2 etwa eine beachtliche Reihe von Patches: http://support.apple.com/kb/HT445
Es ist ja eine alte Geschichte, Hersteller mit langsamen sicherheitsrelevanten Patchzyklen behaupten, es wäre ja nicht notwendig gewesen.
Fehlerfrei ist gar nichts, es vergeht kein Tag an dem keine neue Lücke in Android, iOS & Co entdeckt wird, darunter auch schwerwiegende. Der Rest ist Risikoanalyse - und wenn der Impact als erträglich eingestuft wird kommt die Lücke vorerst einmal unter den Teppich wo sie auf einen Patchday wartet oder bis sie jemand wieder findet (MS hat solche Revivals). Hektische Hotfixes wirken erst recht unsicher.
Apple lässt auch gerne mehrere Monate auf kritische Fixes warten. Sie verkaufen deshalb kaum ein iPhone weniger, das gibt ihnen recht.
Keine Fixes weil eh so sicher... hach ja.. Marketing...
Auch wenn dein Vergleich in erster Linie wohl rein der Unterhaltung dienen sollte, möchte ich anmerken, dass das so nicht "ganz" stimmt.
Einerseits, gibt es Organismen im Inneren von Steinen. Die sogenannten Endolithe z.B. sind aus der Sicht eines Steines "Malware", den sie treiben die Korrision und Verwitterung von Gestein voran.
Zweitens, ist geschlossenes System per se (jedenfalls ohne entsprechende Definition des Begriffs "geschlossen") nicht sicherer als ein offenes oder unempfindlich gebenüber Schadsoftware. Moderne Browser sind hochkomplexe Parser und Code-Interpretierungsmaschinen mit vielen, vielen Schnittstellen. Was in der Praxis dazu führt, dass man über CSS etwa Schadcode in den FE-Cycle schleusen kann (Beispiel: IE, 2010)
Und wenn Android noch so viele Sicherheitslücken hat, werde ich mir kein Smartphone von einem Hersteller kaufen, dessen Philosophie daraus besteht, seine Konkurrenten mit blödsinnigen Patentklagen einzudecken.
Alleine aus diesem Grund hat sich Apple ganz grundsätzlich disqualifiziert.
Die Zensurpolitik von Apple tut sein Übriges.
Es ist unglaublich, wie oft dies als Grund für eine Kaufentscheidung ausgegeben wird. Dann darfst Dir aber immer schön der Logik folgend, gar kein Phone mehr kaufen, wahrscheinlich sogar überhaupt nichts mehr. Und schon gar kein Samsung. Oder willst du dein Geld einer Firma in den Rachen werfen, deren eines Geschäftsfeld aus folgendem Produkt besteht:
http://www.youtube.com/watch?v=v... ata_player
Mit Militär-Zeugs hab ich nichts am Hut. Meine Kauf-Entscheidungen für Computer-Sachen leite ich daraus ab, was Firmen im Computer-Bereich machen (oder nicht machen).
Da ist Apple ausgeschieden.
Und wenn's letztendlich nur auf Apple's Verhalten was WebM betrifft zurück fällt. Alleine das ist Grund genug für mich, Apple zu boykottieren.
Abgesehen davon kann ich nichts erkennen, was Apple bisher großartiges geleistet hat, außer dass sie schaffen, einen Mords-Hype um ihre Marke aufzubauen, aufgrund von welchen ihre Fans Apple-Produkte grundsätzlich kaufen, egal was Apple macht.
Sie meinen jetzt nicht die Gegenklage von Samsung an Apple?
Schauen Sie sich das Wort mal genau an: GEGENklage.
Das ist was anderes, als die blödsinnigen Patentklagen, die ich angesprochen hab.
Natürlich sind Patentklagen grundsätzlich blödsinnig, aber wenn es einen legitimen Grund gibt, eine Patentklage einzubringen, dann ist es um zum Gegenschlag auszuholen, wenn man selbst eine Patentklage angehängt bekommen hat.
Solange solche Patente leider nicht aus der Welt geschaffen wurden, ist das leider ein notwendiges Übel, sonst könnten so Patent-Ärsche wie Apple die ganze Welt verklagen.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.