Sicherheit im Internet – Teil 12: Das Smartphone, Sicherheitslücke in der Hosentasche

An Smartphones denkt man zumindest nicht zuallererst, wenn es um die Frage nach der Cybersicherheit geht. Doch das könnte ein Fehler sein. Cyberkriminelle geben sich viel Mühe und lassen sich eine Menge einfallen, um von den mobilen Telefonen (und vor allem: Internet-Zugangsgeräten) Daten abzugreifen oder gar Zugriff auf Bankkonten oder Benutzerzugänge zu erlangen. In Teil 12 unserer Serie „Sicherheit im Internet“ zeigen wir, welche Gefahren auf Smartphone-Nutzer lauern – und wie man ihnen begegnen kann

Aufmacher: Gustavo Fring via Pexels

Die Covid-19-Pandemie war nicht nur die Zeit des Corona-Virus, sondern auch eine gute Zeit für Smartphone-Viren. Cyberkriminelle nutzten die Gunst der Stunde und versteckten Malware überall dort, wo es die ratsuchenden Menschen im Netz hintrieb. Sie tarnten sie als Covid-19-Tracker, als Ratgeber für Corona-Symptome, als Regierungs-Apps oder auch als Clones von Konferenz-Apps wie Zoom oder Teams. „Wir haben Dutzende solcher böswilligen Versuche gesehen“, erinnert sich Lukáš Štefanko, Malware-Forscher beim Sicherheitssoftware-Anbieter ESET.  Unter anderem hat er auch die Ransomware CryCryptor entdeckt, die sich als offizielle Contact-Tracing-App der kanadischen Gesundheitsbehörde Health Canada ausgab.

Moderner Bankraub

Der weitaus größte Teil der Malware war jedoch der Gruppe der Banken-Trojaner zuzuordnen, die auch heute noch eine sehr wichtige Rolle spielt. Sie stecken in angeblichen Tools, Wetter-Apps oder auch in Spielen. Ihr oberstes Ziel ist es, Zugriff auf ein Bankkonto des Opfers zu erhalten.  Die Vorgehensweise der Cyberkriminellen ist dabei über die Jahre immer raffinierter geworden. Beispielsweise können die Apps Textnachrichten abfangen, weiterleiten und auch löschen. Sie hebeln damit die obligatorische Zweifaktor-Authentifizierung von Onlinebanking-Lösungen aus.  Die Opfer bleiben oft vollkommen ahnungslos – auch weil die App sich so verhält wie erwartet, und ihre Tarnrolle gekonnt weiterspielt. Nur der Drang zu hohen Nutzerrechten könnte das Opfer stutzig machen.

Und bist du nicht willig

Bei Banken-Trojanern geht es immer auch um Tarnen und Täuschen. Um etwa Administrator-Rechte zu bekommen, die eine Deinstallation verhindern können, tarnt sich die Malware als vertrauenswürdiger Google-Dienst, der scheinbar zufällig gerade ein Update erfahren hat und nun eine vermeintliche Bestätigung seiner Rechte braucht. Bisweilen bedienen sich die Cyberkriminellen auch einfach selbst. „Im November 2018 entdeckten wir eine neuartige, die Barrierefreiheit missbrauchende Technik“, schreibt Štefanko in einem Whitepaper von Eset. „Dabei wird die Erlaubnis, im Namen des Benutzers Klicks durchzuführen, für den direkten Diebstahl missbraucht, indem die Malware gezielt durch Finanz-Apps navigiert und Gelder an die Angreifer überweist“.

Smybolbild für Online-Banking
Online-Banking am Handy ist und bleibt das wichtigste Angriffsziel für Cyberkriminelle. Bild: Gerd Altmann via Pixabay

Das Problem auch beim Smartphone: der Nutzer

Ein Smartphone anzugreifen ist im Grunde gar nicht so einfach. Es ist jedenfalls viel schwieriger als bei einem PC. Android wie auch iOS haben bereits eine ganze Reihe Sicherungsmechanismen eingebaut, die unbefugte Zugriffe zumindest stark erschweren. So müssen etwa Overlays, wie sie Cyberkriminelle oft verwenden, um an Bank-Logins zu kommen, vom Nutzer explizit genehmigt werden. Apps werden in sogenannten Sandboxes ausgeführt, wo sie vom Rest des Systems isoliert sind. Durchaus problematisch in diesem Zusammenhang ist das sogenannte Rooten eines Smartphones beziehungsweise ein Jailbreak – also die Umgehung der vom Hersteller vorgesehenen Sicherheitssysteme, um etwa alternative Betriebssysteme laufen zu lassen. Denn dadurch erlangen Apps und Prozesse Administrator-Rechte, die ihnen sonst gar nicht zustünden – die Resilienz des Smartphones wird erheblich schwächt.

Aufgrund dieser normalerweise aktiven Sicherheitsvorkehrungen führt der Zugriff auf das Smartphone in der Regel nur über den Nutzer, der diesen genehmigen muss. Dies bringt es aber mit sich, dass das Smartphone viele Warnmeldungen ausgibt, die dann vom vielleicht genervten User ungelesen weggeklickt werden. Auch diese Tatsache machen sich Cyberkriminelle  zu Nutze:  Weigert sich der Smartphone-Besitzer die geforderten Rechte zu vergeben, dann blendet manche Malware einen Bildschirm ein, der sich nicht wegklicken lässt. Es sei denn, die angefragten Rechte werden doch noch gewährt.

Auch Play Protect wird bisweilen ausgetrickst

Der gute Rat, den man immer wieder hört: Android-Apps nur über den offiziellen Google Play Store beziehen. Dort wurden sie zumindest einmal durch die Google-Sicherheitsfunktion Play Protect auf Malware gescannt. Das Problem: Cyberkriminellen gelingt es immer wieder, diesen Scanner auszutricksen – etwa indem sie die Malware-Funktionen verstecken oder auch eine harmlose Version der App durch ein verseuchtes „Update“ austauschen. „67 Prozent aller bösartigen Apps stammen aus dem Google Play Store, nur 10 Prozent werden von alternativen App Stores heruntergeladen“, sagt Chuck Everette, Director of Cybersecurity Advocacy beim Sicherheitsunternehmen Deep Instinct gegenüber cio.de. Das mag aber auch daran liegen, dass nur wenige Menschen den guten Sicherheits-Rat ignorieren und tatsächlich alternative App-Stores nutzen.

Die Apps im Google Play Store wurden von Play Protect auf Malware gescannt. Aber bisweilen wird das System ausgetrickst. Screenshot: Google Play Store

Die Beispiele zeigen schon: Das große Katz-und-Maus-Spiel läuft auch am Smartphone. Die Hersteller bemühen sich redlich und versuchen, gefundene Sicherheitslücken zu schließen und ihren Kunden entsprechende Patches zur Verfügung zu stellen – zumindest über einen gewissen Zeitraum. Google arbeitet auch an einer Vorwärtsstrategie: Ein Neuerung in Android  soll es erlauben, als schädlich klassifizierte Apps „unter Quarantäne“ zu stellen. Noch ist diese Funktion aber in Entwicklung, ob und wann sie verfügbar sein wird,  ist noch offen.

Demnächst: Alternative App-Shops auch das iPhone

Für iPhone und iPad existieren bislang keine alternativen Shops. Aber das könnte sich schon bald ändern.  Denn die europäische Union hat Apple über den Digital Markets Act gezwungen, nun auch sogenannte Sideloads zuzulassen – also App-Installationen aus anderen Quellen als dem systemeigenen App-Store. Apple wehrt sich dagegen vehement und führt Sicherheitsbedenken an. „Es ist denkbar, dass wir Angriffe sehen werden, die wir noch nie zuvor gesehen haben“,  orakelt Gary Davis, Global Senior Director of Privacy bei Apple in einem Interview mit dem niederländischen Blog iCulture. Das ist aber natürlich nicht der einzige Grund für den Widerstand aus Cupertino: Apple könnte auch einen beträchtlichen Teil seiner Einnahmen verlieren, wenn sich die Kunden bei alternativen Anbietern bedienen. Dem wollen die Kalifornier so viele Steine wie möglich in den Weg legen – etwa mit nervigen Warntafeln, die vor einer Installation aus Nicht-Apple-Quelle aufpoppen.

Liegt auf der Hand: Angriff per SMS

Naturgemäß spielt auch die SMS eine große Rolle bei den Angriffen auf Smartphones. SMS-Phishing oder Smishing wird vor allem für Social-Engineering eingesetzt. Da meldet sich etwa plötzlich die Tochter, sie habe ihr Smartphone kaputt gemacht und habe nun eine neue Nummer. Und natürlich braucht sie schnell Geld. Beliebt sind auch SMS , die angeblich von der Hausbank kommen und die etwa zur Überprüfung einer verdächtigen Überweisung auffordern. Der mitgelierte Link führt auf eine gefälschte Seite. Ziel ist es, die Login-Daten zum Bankkonto abzugreifen. Bisweilen kopieren die Kriminellen auch einen bei E-Mails oft genutzten Trick: Sie geben sich als vertrauenswürdige Person aus und hängen der Nachricht ein Dokument oder eine Datei an, die Malware einhält. Der Trick ist alt, aber scheinbar immer noch erfolgreich. So wurde etwa vor einiger Zeit  das Smartphone von Amazon-Chef Jeff Bezos gehackt, nachdem er eine Videodatei von einem scheinbar vertrauenswürdigen Kontakt heruntergeladen hatte. Erkenntnis: Auch Internetgiganten sind vor Reinfällen nicht gefeit.

Fortgeschrittene Angriffsszenarien: SIM-Swapping und Bluetooth

Relativ viel kriminelle Energie verlangt Pretexting. Bei dieser Art des Angriffes spionieren die Angreifer ihr Opfer sehr genau aus und versuchen mit den so gewonnenen Daten den Provider zu überzeugen, die Mobilfunknummer des Opfers auf das eigene Gerät zu übertragen. Durch dieses sogenannte SIM-Swapping gelangen dann Anrufe, SMS und auch die Codes für die Zweifaktor-Autorisierung auf das Handy des Angreifers.

Bluetooth gilt als gefährliches Einfallstor für Angreifer. Viel Smartphonenutzer schalten den Kurzstreckenfunk gar nicht mehr aus. Bild: Burst via Pexels

Als eine große Schwachstelle von Smartphones gilt Bluetooth. Die meisten Smartphone-Nutzer schalten den Kurzstreckenfunk gar nicht mehr aus, auch nicht beim Shoppen. Das gibt Kriminellen reichlich Gelegenheit, sich ins mobile Telefon einzuhacken. Auch hier sind die Techniken weit fortgeschritten. So hat etwa Daniele Antonioli, ein Sicherheitsforscher der französischen Forschungseinrichtung  Eurecom, gerade kürzlich auf sechs neue Angriffstechniken hingewiesen, die auf Bluetooth-Verbindungen abzielen. Er nennt diese neue Kategorie „Bluffs“ (Bluetooth Forward and Future Secrecy). Durch einen Trick können die Angreifer einen besonders kurzen Bluetooth.Sitzungsschlüssel erzwingen und den Code dann durch Ausprobieren, einem sogenannten Brute-Force-Angriff, erraten.

Vorsicht ist besser als Nachsicht

Insgesamt gibt es aber keinen Anlass zu Panik . Die Bedrohungslage für Smartphones ist trotz allem immer noch deutlich geringer als für PCs. Viele Angriffe erfordern eine große Menge krimineller Energie, was sich für die Angreifer nur in Ausnahmefällen lohnt. Und hier wie dort lässt sich mit ein paar einfachen Maßnahmen und etwas gesundem Menschverstand die eigene Cybersicherheit deutlich erhöhen:

  • Setzen Sie eine Displaysperre. Nutzen Sie PIN oder Passwort statt Muster.
  • Achten Sie auf regelmäßige Backups. Sichern Sie Ihre Daten in einer Cloud oder auf Ihrem Rechner.
  • Legen Sie selbst fest, mit welchem WLAN Sie sich verbinden. Deaktivieren Sie die automatische WLAN-Netzsuche.
  • Aktivieren Sie Bluetooth nur dann, wenn Sie es wirklich brauchen. Und verbinden Sie sich auf keinen Fall zu Ihnen unbekannten anderen Geräten!
  • Überprüfen Sie die Berechtigungen Ihrer Apps.
  • Laden Sie Apps stets über den offiziellen Store. Das bietet zwar keinen hundertprozentigen Schutz, ist aber allemal sicherer als Sideloading.
  • Achten Sie auf Spam-SMS. Seien Sie vorsichtig beim Anklicken von Links in SMS.
  • Hüten Sie sich vor Betrugsversuchen. Seien Sie misstrauisch, wenn sich etwa Microsoft oder die Polizei ungefragt bei Ihnen telefonisch oder per SMS melden.
  • Auch am Smartphone ist ein Virenschutz eine gute Idee. Aber natürlich nur von einem seriösen Anbieter.
  • Richten Sie eine Fernortung für Ihr Smartphone ein. So können Sie es bei Verlust wiederfinden und im Notfall auch alle Daten löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert