Smartphones im Visier von Cyberkriminellen

Die Kriminalität im Netz wird sich schon bald auf Smartphones und Mobilgeräte verlagern, glaubt Weinmann, der auf der Universität in Luxemburg für die Sicherheitsanalyse von "Embedded Systems" zuständig ist und im Rahmen der Sicherheitskonferenz DeepSec in Wien zu Gast war. "Es gibt Indikatoren für einen Umschwung." Dabei werden allerdings die Geschäftsmodelle der Cyberkriminellen nicht einfach übertragen, sondern neue angewandt, die direkt greifen. Als Beispiel nennt Weinmann etwa Premium-SMS-Dienste, die finanzielle Schäden direkt über die Rechnung hervorrufen können.

"Im Desktop-Bereich wird es immer schwieriger, saubere Exploits zu schreiben, die auf einer großen Anzahl von PCs einwandfrei funktionieren", nennt Weinmann den Grund für die baldige Verlagerung der Branche auf den mobilen Bereich. "Bei Smartphones ist es wesentlich weniger Arbeit, Sicherheitslücken auszunutzen."

Daten von iPhone abgefangen

Weinmann selbst hat im Rahmen vom CanSecWest Pwn2Own Hacking-Wettbewerb im März diesen Jahres erfolgreich Daten von einem iPhone abgefangen. Zusammen mit dem italienischen Kollegen Vincenzo Iozzo schrieb er 14 Tage an dem Code, mit dem es möglich war, die SMS-Datenbank des iPhones binnen Sekunden nach außen zu exportieren. Dafür war lediglich der Besuch einer präparierten Website im Browser notwendig. 15.000 Dollar war das Preisgeld des Unternehmens TippingPoint, das im Anschluss für das Stopfen der Lücke sorgte. Die "andere Seite" hätte mehr gezahlt.

Die Branche habe sich enorm professionalisiert, es habe sich eine ganze Industrie aufgebaut, meint Weinmann zur Cybercrime-Szene. "Heute wird es immer ernster. "Malware as a Service" nimmt zu, aber auch für Sicherheitsprodukte gibt es mittlerweile einen Milliardenmarkt."

"Mobilfunkindustrie muss umdenken"

Während bei den Programmen für PCs Sicherheitslücken großteils relativ rasch geschlossen werden, bleiben die Lücken bei Smartphones oft monatelang ungepatcht. "Die Mobilfunkindustrie muss hier unbedingt umdenken. Sie verkaufen nicht nur die Hardware-Features der Geräte, sondern auch die Software dazu", warnt Weinmann. "Das wird sowohl für die Anwender als auch für die Hersteller noch sehr schmerzhaft werden."

Mobilfunkkunden rät Weinmann daher, sich die Produkte nicht nur nach den neuesten Features auszusuchen, sondern auch vor dem Kauf darauf zu achten, wie die Hersteller mit Updates umgehen. "Das regelmäßige Software-Update verhindert einen Großteil der Angriffe", so Weinmann. Einige Hersteller im Mobilfunkbereich bieten aber für ältere Geräte nach einer gewissen Zeit keine Software-Updates mehr an. "Dadurch wird man immer verwundbarer."

So bietet etwa T-Mobile für das G1, dem ersten Smartphone mit der Android-Software, keine neuen Software-Updates mehr an. Offiziell blieb Android 1.6. das letzte Update, auch wenn es Nutzern gelungen ist, die Version 2.0 auf dem Gerät zum Laufen zu bringen. Das erste Android-Smartphone ist noch keine zwei Jahre am deutschsprachigen Markt erhältlich - und damit kürzer als so mancher Handyvertrag läuft. Auch Motorolas Android-Phone Milestone XT720 soll bereits nach einem halben Jahr Marktpräsenz kein Update mehr bekommen.

Vorsicht auch bei Apps

Neben dem regelmäßigen Installieren von Updates soll man als Konsument außerdem darauf achten, Apps nicht allzu bereitwillig zu vertrauen. In den kleinen Zusatzprogrammen können sich sowohl bei Apple als auch bei Google Funktionalitäten einschleichen, die Schadprogramme im Hintergrund freisetzen. "Wenn jemand ernsthaft etwas Böses vorhat, lässt er sich durch einen Rating-Prozess wie im App-Store nicht aufhalten."

Mehr zum Thema:

DeepSec: Faktor Mensch als Sicherheitslücke
Android: Forscher zeigt Sicherheitslücke auf
Smartphone-Malware: Trügerische Sicherheit

(Barbara Wimmer)