Smartphone-Sicherheit

Situation: Dem Thema Sicherheit auf dem Smartphone sollten Besitzer eines Smartphones aus verschiedensten Gründen besondere Aufmerksamkeit schenken. So liegen auf den Geräten meist sehr persönliche Daten wie beispielsweise Telefonnummern, Mailadressen und Zugangsdaten zu Mailkonten und Social Communitys wie Facebook. Komplette Mails werden oft ebenfalls auf dem Smartphone gespeichert, zudem finden darauf vielleicht auch berufliche Dokumente wie Office-Dateien oder PDFs ihren Platz.

Dazu kommen dann je nach Anwender vielleicht noch Kreditkartendaten, die man eingibt, um vom Smartphone aus einzukaufen. Und so mancher Smartphone-Besitzer erledigt auch seine Bankangelegenheiten vom Smartphone aus über eine Banking-App. Der Verlust des Smartphones oder eine eingeschleuste Malware bedeuten also oftmals den GAU für die Privatsphäre und den Schutz der eigenen Daten. Zusätzlich besteht bei Smartphones das Risiko, dass Gespräche abgehört oder das Gerät sogar zu einer Art Abhörwanze umfunktioniert wird.

Nicht zu vergessen: Dialer feiern auf dem Smartphone ein trauriges Comeback, immer öfter tauchen Meldungen auf, dass Smartphones derart manipuliert wurden, dass sie hochpreisige Telefon- oder WAP-Verbindungen ohne Zustimmung des Benutzers aufgebaut haben. Die Hersteller von Sicherheitslösungen haben das Thema Smartphone-Sicherheit für sich entdeckt.

Damit der Besitzer eines Smartphones das konkrete Gefahrenpotenzial für sein eigenes Smartphone einschätzen kann, werden in diesem Artikel die Sicherheitsarchitekturen von Apple iOS, Google Android und Windows Phone 7 vorgestellt.

Eine wichtige Information vorab: Den Hauptangriffsweg beziehungsweise das meistgenutzte Einfallstor auf einem Smartphone stellt derzeit die Installation einer Malware-verseuchten App dar. Der Angreifer tarnt seine Malware, indem er sie als vermeintlich nützliche oder besonders pfiffige Anwendung im App Store, im Android Market oder im Windows Marketplace anpreist. In der Applikation aber hat er Funktionen versteckt, die ihm erweiterte Rechte auf dem Smartphone geben. Beispielsweise, um Kontaktdaten und Ortsangaben zu sammeln und heimlich eine Internetverbindung aufzubauen, über welche die eingesammelten Daten dann an den Hacker verschickt werden. Bei Android kann die Malware auch in einer App mit verlockender Erotik versteckt sein, weil Google für den Android Market Apps mit erotischen Inhalten zulässt.

Generelle Sicherheitstipps für alle Smartphones: Aktivieren Sie einen Zugriffsschutz (PIN, Passphrase/Passcode, Entsperrmuster). Sichern Sie Ihre Smartphone-Daten regelmässig via Backup. Installieren Sie eine Software zum Fernsperren des Smartphones und zum Fernlöschen von Daten.

Für die Sicherheit bei der Installation von Apps aus dem Apple App Store spricht die restriktive Überwachung des App Stores durch Apple. Apple prüft jede App vor deren Bereitstellung im App Store, der zudem die einzige Downloadquelle für iPhone-Apps darstellt. Allerdings können Aussenstehende nicht nachvollziehen, wie detailliiert die Überprüfung ausfällt, sprich: Ob Apple wirklich jede Code-Zeile überprüft. Jeder Einsteller muss sich zudem zuvor im App Store anmelden.

Apple besitzt ausserdem die Möglichkeit der Fernlöschung einer App, die als Malware enttarnt wird. Ist eine App dann installiert, wird sie in einer Sandbox ausgeführt, also in einem nur für sie reservierten Bereich, aus dem sie nicht ausbrechen können sollte. Sie kann somit andere Apps und das Betriebssystem nicht beeinflussen (zumindest in der Theorie).

Die einzelne App hat keinen Zugriff auf die OS-Ressourcen und das Dateisystem. Unter iOS gibt es allerdings Prozesse des Betriebssystems, die mit Root-Rechten und Vollzugriff laufen. Das könnte eine Schwachstelle für künftige Hackerattacken sein.

Erste Hinweise auf Malware-artige Apps oder zumindest aus Datenschutz-Sicht bedenkliche Apps gibt es bereits. So sammelte ein bereits aus dem App Store entferntes Spiel die auf dem iPhone gespeicherten Kontaktdaten und übertrug diese zum Server des Spielherstellers. Relativ bekannt wurde auch die Jailbreakme-Lücke vom August 2010: Dabei musste nur eine bestimmte Website auf dem iPhone geöffnet werden, um eine Schwäche im Browser Safari auszunutzen, um den iPhone-Jailbreak durchzuführen. Ein Angreifer hätte die mittlerweile geschlossene Lücke dafür nutzen können, um den Anwender Malware unterzujubeln.

iPhone-Besitzer, die alle von Apple auferlegten Einschränkungen aushebeln wollen, können einen Jailbreak auf ihrem iPhone machen. Danach lassen sich auch Apps von anderen Downloadquellen als nur dem App Store installieren und auch der SIM-Lock aufheben, das iPhone also mit einem anderen Mobilfunkprovider nutzen. Doch mit einem Jailbreak hebelt man auch das Sicherheitskonzept von iOS aus - das muss jedem Besitzer eines iPhones klar sein. Denn nach einem Jailbreak gibt es keine Prüfung der Code-Signatur mehr (das so genannte Code Signing), so dass sich auch Apps installieren lassen, die keine Signatur des Programmierers haben.

Gegenüber dem App Store und dem Windows Marketplace erscheint der Android Market potenziell etwas riskanter. Denn man kann sich neben dem Android Market auch noch von anderen Websites und Markets Apps für das Android-Smartphone herunterladen. Diese anderen Markets und Websites mit APK-Dateien werden von Google nicht überwacht und können somit jederzeit Malware enthalten. Und zweitens kontrolliert Google selbst die im offiziellen Android Market zum Download bereit gestellte Apps nicht! Stattdessen nimmt Google den Anwender selbst in die Pflicht - mit dem Lesen der Zugriffsrechte einer App vor deren Installation.

Um die Sache mit den Zugriffsrechten zu verstehen, bedarf es etwas Vorwissen: Jede einzelne Anwendung und ebenso die Anwender selbst haben keinen Vollzugriff auf das Betriebssystem. Stattdessen läuft jede App mit einem eigenen Prozess (der nicht über Root-Rechte verfügt, also keinen Vollzugriff auf das System bietet) und in einem eigenen, nur für sie reservierten Speicherbereich. Anders als bei einem Desktop- oder Server-Linux-System hat der Besitzer eines Android-Smartphones auch keine Möglichkeit standardmässig Root-Zugriff zu erlangen, er verfügt also nicht über alle Rechte und Möglichkeiten. Das ist ein wichtiger Sicherheits-Baustein: Denn falls es einem Angreifer tatsächlich einmal gelingt, eine Malware auf das Android-Smartphone einzuschleusen, kann es nicht das gesamte System angreifen, sondern nur im Rahmen der Rechte sein Unwesen treiben, die der App bei deren Installation eingeräumt wurden.

Wer doch unbedingt Vollzugriff auf sein Android-Gerät wünscht, beispielsweise weil man eine vom Hersteller vorinstallierte App loswerden will, das Provider-Branding entfernen oder ein Screenshot-Tool installieren oder die CPU übertakten möchte, kann sein Android-Smartphone rooten. Damit verschafft man sich und den Apps Root-Rechte. Mit allen Risiken: Eine Malware hat dann ebenfalls Vollzugriff. Auf einem gerooteten Smartphone muss man also bei der Installation von Apps besonders vorsichtig sein.

Kommen wir zurück zur Installation einer App auf einem nicht-gerooteten Smartphone und beschäftigen wir uns mit dem nächsten Baustein der Sicherheit unter Android: Dem Manifest und den darin festgelegten Rechten, die eine App auf dem Android-Smartphone eingeräumt bekommt. Sobald man eine App aus dem Market zum Download auswählt, zeigt sie dem Benutzer vor der Installation an, welche Zugriffsrechte sie auf dem Smartphone für sich in Anspruch nehmen wird. Ob sie also beispielsweise auf die Kontaktdaten zugreifen, Telefonnummern anwählen und Verbindung mit dem Internet aufnehmen darf. Und ob sie Zugriff auf diverse Hardware- und Systemfunktionen hat und beispielsweise den Standort des Smartphones übermitteln darf.

Hier gilt es nun für den mündigen Anwender abzuwägen: Will er der konkreten App die genannten Rechte einräumen und vertraut er ihr? Eine Navigationssoftware, beispielsweise von Google oder Navigon, benötigt beispielsweise weitgehende Zugriffsrechte. Das ist plausibel, Navigon dürfte zudem eine seriöse Quelle sein: also sollte man in diesem Fall zustimmen.

Bei einer App von einem völlig unbekannten Entwickler sollte man aber vorsichtig sein: Uns sind simple eBook-Apps bekannt, die sich weitergehende Rechte auf dem Smartphone nehmen wollen als es für ein simples eBook eigentlich nötig wäre. Insbesondere einige dubiose Bibelübersetzungen aus dem Dunstkreis der Zeugen Jehowas, die unter anderem Zugriff auf den Telefonspeicher (will die Bibel telefonieren?) und die Kontaktdaten haben wollen (neue Mitglieder für die Zeugen Jehowas rekrutieren?). Wenn die von einer App gewünschten Zugriffsrechte und der Zweck der App in so einem deutlichen Gegensatz stehen, sollte Sie die rote Karte zeigen und die Installation abbrechen.

Übrigens sollte man auch beim Update einer bereits installierten App vorsichtig sein. Mitunter genehmigt sich eine App nachträglich beim Update mehr Zugriffsrechte als zum Zeitpunkt der Installation.Am besten man verzichtet deshalb auf die Funktion, die vorhandenen Apps automatisch aktualisieren zu lassen (Checkbox bei Automatische Updates zulassen). Besser ist es, jede App selbstständig upzudaten. Dann zeigt einem nämlich die App die neuen Zugriffsrechte an - und mann kann das Update gegebenenfalls ablehnen. Es lassen sich jederzeit nachträglich alle Zugriffsrechte anzeigen: Unter Einstellungen, Anwendungen, Anwendungen verwalten wähl man dazu eine App aus und scrollt etwas nach unten zu den Berechtigungen.

Auch für Android gibt es bereits erste Beispiele für Malware-artige Apps. So wählte eine als Media Player getarnte App teure Telefonnummern an. Sicherheitsexperten hatten zudem zu Demonstrationszwecken eine App eingestellt, die Trojaner-Features hatten - Google entfernte sie nachträglich von den betroffenen Smartphones: Denn Google besitzt genauso wie Apple die Möglichkeit der Fernlöschung einer App.
Da Android-Apps grundsätzlich mit Java programmiert werden, sollten typische Hacker-Tricks wie Pufferüberläufe nicht funktionieren. Allerdings gibt es auch Android-Bestandteile, die in C/C++ programmiert sind und für diese Hacker-Angriffstechniken anfällig sein könnten. In so einem Fall sollte aber immer noch das Sandbox-Prinzip von Android einen Angreifer stoppen - das hängt dann im konkreten Fall von den Zugriffsrechten einer App ab.

Microsoft orientiert sich bei seinem Marketplace an Apples App Store. Das bedeutet: Apps zum Herunterladen und Installieren gibt es nur von einer einzigen Quelle, eben aus dem Marketplace. Zudem prüft Microsoft jede dort eingestellte App, fünf Tage soll es im Schnitt dauern, bis eine vom Entwickler eingereichte App für den Download freigegeben wird.

Auch bei Windows Phone 7 gibt es eine Art Sandbox. Und zwar ebenfalls separat für jede einzelne App (wie auch bei Android). Microsoft hat nämlich die Sicherheits-Architektur des Microsoft .net-Frameworks, wie man es vom Desktop-PC her kennt, angepasst. Während das .net-Framework auf Windows-PCs eine grosse Sandbox für alle Anwendungen zusammen bereitstellt, gibt es bei der Sicherheitsarchitektur des .net-Frameworks für Windows Phone 7 für jede einzelne App eine eigene Sandbox (Microsoft bezeichnet das als chamber/Kammer). Jede App besitzt einen eigenen Prozess, einen eigenen Speicherbereich und einen eigenen Platz für ihre Daten (isolated storage), kann somit nicht auf die Daten anderer Apps zugreifen.

Windows Phone 7 führt nur verwalteten (managed) Code aus, der vor der Ausführung nach den Sicherheitsregeln der Common Language Runtime (CLR) des Microsoft .net-Framework überprüft wird. Damit sollen typische Programmierfehler und Hackermethoden wie das Ausnutzen von Pufferüberläufen oder das Lesen von willkürlich ausgewähltem Speicher verhindert werden (das Java-basierte Google Android lässt grüssen).

Eine App darf zudem laut Microsoft erst nach der konkreten Zustimmung durch den Benutzer auf das Telefon oder die Kurznachrichtenfunktion zugreifen und SMS verschicken. Mit dem von Microsoft kostenlos bereit gestellten Dienst "Mein Handy" lässt sich ein verlorenes Smartphone aufspüren beziehungsweise die Daten darauf löschen und das Gerät sperren.

Windows Phone 7 bietet daneben Zugangsschutz per PIN und Passwort-Richtlinien für Exchange Actice Sync. Die übertragenen Daten verschlüsselt Windows Phone 7 generell per SSL je nach Server-Verbindung mit 128 Bit oder 256 Bit.

Microsoft will übrigens auch zwei weitere Eigenheiten von Windows Phone 7 als Sicherheits-Features verstanden wissen, die man durchaus auch als Nachteile unter dem Gesichtspunkt Komfort empfinden kann. So gibt es bei Windows Phone 7 keine SD-Karten zum Auswechseln (nur deren Festeinbau ist möglich). Microsoft will damit verhindern, dass man durch das Entnehmen der SD-Karte an die Benutzerdaten rankommt und im Gegenzug Malware einschleppt.

Es gibt zudem auch nicht die Möglichkeit, das Windows Phone-7-Gerät einfach per USB mit dem PC zu verbinden und es dann als Wechselspeicher vom PC aus zu benutzen. Stattdessen muss man zwingend zum Datenaustausch zwischen PC und Smartphone Zune und eine WLAN-Verbindung verwenden. Das soll ebenfalls die Sicherheit erhöhen.