Mobile Sicherheit im Juli

Merkels Crypto Handy erneut abgehört

Nach erstem Sommerloch klang die Meldung, dass das neue CryptoPhone (Stückpreis: 2.500 EUR) des deutschen Herstellers SecuSmart, erneut abgehört wurde. Die Bild zitierte einen hochrangigen NSA-Offizier mit dieser Aussage. Kurze Zeit später erfolgte aber bereits die Relativierung dieser Aussage. Es ginge wohl nur darum, dass trotz Kryptohandy Frau Merkel nicht vor Ausspähungen sicher sei. Hinweise darauf, dass dies bereits erfolgt ist, gibt es nicht.

Staatstrojaner

Für einiges mediales Aufsehen sorgte im Juni auch die Entdeckung eines universellen Staatstrojaners für alle gängigen mobilen Plattformen. Kaspersky und Citizen Lab veröffentlichten ihre entsprechenden Entdeckungen.

Um ein iOS Gerät zu infizieren, wird ein Jailbreak vorausgesetzt, laut den Sicherheitsexperten kann dieser aber durchaus auch Remote ausgeführt werden, zum Beispiel wenn das iPhone mit dem Rechner der Zielperson verbunden wird.

Der Trojaner ist modular aufgebaut, bei iOS besteht unter anderem die Möglichkeit Telefongespräche, SMS Nachrichten oder Fotos auszulesen.

iOS 7.1.2

Im Juli veröffentlichte Apple noch das vermutliche letzte iOS 7 Update. iOS 7.1.2 behebt diverse Schwachstellen, unter anderem die seit iOS 7.0.4 nicht mehr funktionierende Verschlüsselung von E-Mail Anhängen. Ein Update auf iOS 7.1.2 wird dringend empfholen!

Ortsbezogene Sicherheitszonen für iOS-Geräte

Ein neuer Patentantrag von Apple regt wieder die Phantasie der Medien an. In diesem beschreibt Apple die Möglichkeit Sicherheitseinstellungen der Geräte abhängig vom Aufenthaltsort zu setzen. Zu Hause oder im Büro könnte so andere Schutzzonen eingerichtet werden, als zum Beispiel in öffentlichen Verkehrsmitteln.

Ein ähnliches Konzept - auch unter dem Namen Geofencing bekannt - setzt zum Beispiel Samsung ein. Betritt ein Mitarbeiter das Werksgelände, werden auf den registrierten Geräte strengere Sicherheitsprofile aktiv, zum Beispiel wird die Kamera deaktiviert. Diverse MDM-Anbieter bieten hier auch die Möglichkeit solche Regeln zum implementieren.

Der Patentantrag wurde bereits im Dezember 2012 eingereicht, jetzt aber erst veröffentlicht.

Android

Eine Schwachstelle in der Schlüsselverwaltung (Keystore-Dienst) von Android erlaubt es Angreifern Zugriff auf hinterlegte Sicherheitsschlüssel zu erlangen. Mit diesen ist es dann wiederum möglich auf abgelegte Kennwörter zuzugreifen. Aufgedeckt hat die Lücke das Sicherheitsteam von IBM Security Systems.

Der Fehler wurde in Android 4.4 bereits bereinigt, in älteren Versionen ist die Lücke noch aktiv!

Vor kurzem erst wurde auch bekannt, dass Android Apps geheime Entwickler-Schlüssel preisgeben. Mithilfe dieser Schlüssel können Angreifer die privaten Daten von App-Nutzern abgreifen, oder aber auch auf die Server der Apps zugreifen. Forscher der New York Columbia Universität luden für ihre Analysen über 1.1 Millionen Apps herunter und überprüften deren Quelltexte auf geheime Zugangs-Token.

Auf der kürzlich stattgefunden jährlichen Google Entwicklerkonferenz I/O war auch die Sicherheit von Android ein Thema. So ist das Ziel, sicherheitsreleavante Updates zukünftig zentral und zeitnah zu verteilen. Dazu werden die entsprechenden Komponenten vom Kernel ausgelagtert. Inwieweit diese Funktion auch für ältere Versionen von Android zur Verfügung steht, ist nicht bekannt.

Schließen möchte ich mit der neuesten Android Schwachstelle, die der Berliner Sicherheitdienstleister Curesec aufgezeigt hat. Damit können bösartigte Apps Telefonverbindungen aufbauen oder abbrechen. Betroffen sind sämtliche Android Versionen von 4.1.1 bis einschließlich 4.4.2.

2014

2013

2012