Smartphone-Security: EU berät mit ENISA-Studie zu Gefahren und Sicherheit

rj, den 13. Dezember 2010
micon_smartphone-security

Viel altbekanntes, aber einige Aufhorcher und nicht zuletzt eine sinnvolle Übersicht von Risiken und ihrer Handhabung beim Smartphone-Einsatz hat die ENISA-Studie der EU zusammengetragen. Vom Gelegenheitsnutzer über Unternehmen bis hin zu den Herstellern werden die Akteure auf den Stand der Gefährdungen informiert. Besonders spannend ein expliziter Hinweis auf den iPhone-Tastaturcache.

Begonnen mit den „Anfängerfehlern“ wie dem gern genutzten Trick, PIN-oder Kreditkartennummern unverschlüsselt als „Fake-Adresse“ bzw. Rufnummer zu speichern über die Gefahren durch fehlende Speicherverschlüsselung und der allgegenwärtigen Datenabgreiferei durch diverse Apps und Dienste bis hin zu den Cloud-Speicherlösungen und den unsicheren Übertragungswegen dorthin: die Studie sammelt die zentralen Sicherheitsrisiken bei Smartphones und empfiehlt entsprechende Sicherheitsmaßnahmen. Manche trivial – die „Achtsamkeit“ mag man aber vermehrt walten lassen, wenn man bedenkt, dass 2% der Smartphones während einer Nutzungsstudie in Großbritannien binnen eines Jahres gestohlen wurden. Ebenso bekannt ist das unvollständige Löschen von Daten vor dem Weiterverkauf – eine kleine Studie mit 26 bei eBay gekauften (Geschäfts!-)Smartphones ergab bei vier Geräten genügend Rückschlüsse, um den Besitzer/Benutzer zu identifizieren, bei sieben war die Identifikation des Arbeitgebers möglich.

Unbemerkte Datenübertragungen sind jedoch die verbreitetste Form unerwünschter Datenweitergabe. Zahlreiche Nutzer wissen nicht, welche Apps welche Daten wohin übermitteln, viele Apps machen dies auch nicht im Ansatz transparent oder einstellbar. Android sei hier in einer Studie besonders negativ aufgefallen: 20% aller Anwendungen richten sich den Zugriff auf „sensible“ Informationen ein, 5% aller untersuchten Android-Apps hätten gar die notwendigen Berechtigungen, um ohne jede weitere Interaktion mit dem User eine beliebige Telefonnummer anzurufen.

Bei einer anderen, plattformübergreifenden Studie über 30 Apps sei beobachtet worden, dass zwei Apps Telefon- und IMSI-Nummer übertrugen, die Hälfte der Anwendungen übertrug Ortsinformation zu Werbeservern, bei keiner wurde dabei der User gefragt.

Was insbesondere bei Verlust oder der Möglichkeit des physikalischen oder Remote-Zugriffs Dritter in Sachen iPhone den einen oder anderen User schlucken lässt: laut ENISA-Studie speichert das iPhone alle Tastatureingaben, die je auf dem Gerät gemacht werden – ausgenommen jene in Passwortfeldern. Der Keyboard-Cache dient beispielsweise der Optimierung der Rechtschreibkorrektur und der automatischen Wort- und Nummernergänzung. Dieses Logfile sei für alle Apps zugänglich (sinnigerweise, da ja bei allen Apps die Tastatureingaben gespeichert/analysiert werden) und stelle ein nicht unerhebliches Sicherheitsrisiko dar, auch wenn keine Passwortfelder mit erfasst würden.

Risiken durch entsprechend zugriffs- und übermittlungsfreudige Apps seien insbesondere auf Plattformen ohne Kontrolle der installierbaren Apps verbreitet, doch auch den „walled gardens“ werden ihre ganz spezifischen Probleme attestiert. Die App-Sichtung wird spätestens vor der Verbreitung eines sicherheitskritischen Updates zum Zeitfresser und damit zum Unsicherheits- statt Sicherheitsfaktors. Den Review-Prozess bezeichnet die Studie dann auch als „…ernstes Hindernis zum zeitnahen Patchen von Sicherheitslücken, was in einer sich schnell entwickelnden Technologie häufig notwendig sein wird.“

Die zehn zentralen Gefahren bei Smartphonenutzung, laut ENISA:

  1. Datenverlust: ein gestohlenes oder verlorenes Smartphone erlaubt Dritten den Zugriff.
  2. Unsaubere Entsorgung: Das Smartphone wird mit unzureichender Datenlöschung entsorgt oder weiterverkauft.
  3. Unerwünschte Datenweitergabe: Apps übertragen unbemerkt und ungewünscht Informationen an Dritte.
  4. Phishing.
  5. Spyware.
  6. Netzwerkangriffe mit Fake-Accesspoints.
  7. Überwachung: Ausspionierung des Users via Smartphone.
  8. Dialer/Premium-SMS.
  9. Banken-Malware: Trojaner und Spoof-Sites, die Bank- und Kreditkartenanwendungen vortäuschen.
  10. Netzwerküberlastung.

Apple ist im Bericht (pdf, DDL) bzw. den Praxisempfehlungen regelmäßig präsent – ob es nun um Apps und Geräte oder eben Angriffspunkte geht. Nur an einer Stelle ist die Firma aus Cupertino nicht vertreten: unter den beratenden Experten finden sich Vertreter verschiedener Mobilfunkprovider ebenso wie solche von Security-Unternehmen oder Interpol, dazu noch Vertreter von RIM, Microsoft, Nokia und Google. Apple war nicht dabei.


Ähnliche Nachrichten

Passende Angebote