So sicher sind iOS, Android & Windows Phone 7 Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.10.2010 PC-Welt*

So sicher sind iOS, Android & Windows Phone 7

Moderne Smartphones speichern Unmengen sensibler Daten und hängen ständig an einer Breitband-Internetverbindung. Dementsprechend wichtig wird das Thema Sicherheit. Wir sagen, wie Apple, Google und Microsoft ihre Smartphone-Betriebssysteme absichern.

Dem Thema Sicherheit auf dem Smartphone sollten Besitzer eines Apple iPhone, Desire oder Samsung Galaxy S und bald auch eines Mozart oder Trophy aus verschiedenen Gründen besondere Aufmerksamkeit schenken. So liegen auf dem Smartphone meist sehr persönliche Daten, unter anderem Telefonnummern, Mailadressen und Zugangsdaten zu Mailkonten und Social Communities wie Facebook. Komplette Mails werden oft ebenfalls auf dem Smartphone gespeichert, zudem finden darauf vielleicht auch berufliche Dokumente wie Office-Dateien oder PDFs ihren Platz. Dazu kommen dann je nach Anwender vielleicht noch Kreditkartendaten, die man eingibt, um vom Smartphone aus einzukaufen. Und so mancher Smartphone-Besitzer erledigt auch sein Online-Banking vom Smartphone aus via Banking-App. Der Verlust des Smartphones oder eine eingeschleuste Malware bedeuten also oftmals den Supergau für die Privatsphäre und den Schutz der eigenen Daten. Zusätzlich besteht bei Smartphones das Risiko, dass Gespräche abgehört oder das Smartphone sogar zu einer Art Abhörwanze umfunktioniert wird.

Nicht zu vergessen: Dialer feiern auf dem Smartphone ein trauriges Comeback, immer öfter tauchen Meldungen auf, dass Smartphones derart manipuliert wurden, dass sie hochpreisige Telefonverbindungen oder WAP-Verbindungen ohne Zustimmung des Benutzers aufbauten. Die Hersteller von Sicherheitslösungen haben das Thema Smartphone-Sicherheit für sich entdeckt, Norton bietet beispielsweise mit Norton Mobile eine eigene Produktreihe für Smartphones an. Mit Norton Smartphone Security, das es unter anderem für Android und IOS gibt, soll nicht nur Malware gestoppt werden, sondern man kann damit auch ein verlorenes Smartphone sperren und die darauf liegenden Daten löschen. Damit der Besitzer eines Smartphones aber selbstständig das konkrete Gefahrenpotenzial für sein eigenes Smartphone einschätzen kann, stellen wir in diesem Artikel die Sicherheitsarchitekturen von Apple iOS, Google Android und Windows Phone 7 vor.

Eine wichtige Information vorab: Den Hauptangriffsweg beziehungsweise das meist genutzte Einfallstor auf ein Smartphone stellt derzeit die Installation einer Malware-verseuchten App dar. Der Angreifer tarnt seine Malware, indem er sie als vermeintlich nützliche oder besonders pfiffige Anwendung (bei Android kann die Malware auch in einer App mit verlockenden erotischen Inhalten versteckt sein, weil Google für den Android Market Apps mit erotischen Inhalten zulässt) im App Store, im Android Market oder im Windows Marketplace anpreist, in ihr aber Funktionen versteckt hat, die ihm erweiterte Rechte auf dem Smartphone geben. Beispielsweise um Kontaktdaten einzusammeln, Ortsdaten zu sammeln und heimlich eine Internetverbindung aufzubauen, über die die eingesammelten Daten dann an den Hacker verschickt werden.

Generelle Sicherheit-Tipps für alle Smartphones: Aktivieren Sie einen Zugriffsschutz (PIN, Passphrase/Passcode, Entsperrmuster). Sichern Sie Ihre Smartphone-Daten regelmäßig via Backup. Installieren Sie eine Software zum Fernsperren des Smartphones und zum Fern-Löschen von Daten.

SICHERHEIT VON APPLE IOS Für die Sicherheit bei der Installation von Apps aus dem Apple App Store spricht die restriktive Überwachung des App Stores durch Apple. Apple prüft jede App vor deren Bereitstellung im App Store, der zudem die einzige Downloadquelle für iPhone-Apps darstellt. Allerdings können Außenstehende nicht nachvollziehen, wie detailliiert die Überprüfung ausfällt, sprich: Ob Apple wirklich jede Code-Zeile tatsächlich überprüft. Jeder Einsteller muss sich zudem zuvor im App Store anmelden.

Apple besitzt außerdem die Möglichkeit der Fernlöschung einer App, die als Malware enttarnt wird. Ist eine App dann installiert, wird sie in einer Sandbox ausgeführt, also in einem nur für sie reservierten Bereich, aus dem sie nicht ausbrechen können sollte. Sie kann somit andere Apps und das Betriebssystem nicht beeinflussen - zumindest in der Theorie. Die einzelne App hat keinen Zugriff auf die OS-Ressourcen und das Dateisystem. Unter iOS gibt es allerdings Prozesse des Betriebssystems, die mit Root-Rechten und Vollzugriff laufen. Das könnte eine Schwachstelle für künftige Hacker-Attacken sein.

Erste Hinweise auf Malware-artige Apps oder zumindest aus Datenschutz-Sicht bedenklichen Apps gibt es bereits. So sammelte ein bereits aus dem App Store entferntes Spiel die auf dem iPhone gespeicherten Kontaktdaten und übertrug diese zum Server des Spiel-Herstellers. Relativ bekannt wurde auch die Jailbreakme-Lücke vom August 2010: Dabei musste nur eine bestimmte Website auf dem iPhone geöffnet werden, um eine Schwäche im Browser Safari auszunutzen, um den iPhone-Jailbreak durchzuführen. Ein Angreifer hätte die mittlerweile geschlossene Lücke dafür nutzen können, um den Anwender Malware unterzujubeln.

iPhone-Besitzer, die alle von Apple auferlegten Einschränkungen aushebeln wollen, können einen Jailbreak auf ihrem iPhone machen. Danach lassen sich auch Apps von anderen Downloadquellen als nur dem App Store installieren und auch der SIM-Lock aufheben, das iPhone also mit einem anderen Mobilfunkprovider nutzen. Doch mit einem Jailbreak hebelt man auch das Sicherheitskonzept von iOS aus – das muss jedem Besitzer eines iPhones klar sein. Denn nach einem Jailbreak gibt es keine Prüfung der Code-Signatur mehr (das so genannte Code Signing), so dass sich auch Apps installieren lassen, die keine Signatur des Programmierers haben.

SICHERHEIT VON GOOGLE ANDROID Gegenüber dem App Store und dem Windows Marketplace erscheint der Android Market potenziell etwas riskanter. Denn erstens kann man sich neben dem Android Market auch noch von anderen Websites und Markets Apps für das Android-Smartphone herunterladen. Diese anderen Markets und Websites mit APK-Dateien werden von Google nicht überwacht und können somit jederzeit Malware enthalten. Und zweitens kontrolliert Google selbst die im offiziellen Android Market zum Download bereit gestellten Apps nicht! Stattdessen nimmt Google den Anwender selbst in die Pflicht – mit dem Lesen der Zugriffsrechte einer App vor deren Installation.

Um die Sache mit den Zugriffsrechten zu verstehen, bedarf es etwas Vorwissen: Jede einzelne Anwendung und ebenso der Anwender selbst haben keinen Vollzugriff auf das Betriebssystem. Stattdessen läuft jede App mit einem eigenen Prozess (der nicht über Root-Rechte verfügt, also keinen Vollzugriff auf das System bietet) und in einem eigenen, nur für sie reservierten Speicherbereich. Anders als bei einem Desktop- oder Server-Linux-System hat der Besitzer eines Android-Smartphones auch keine Möglichkeit standardmäßig Root-Zugriff zu erlangen, er verfügt also nicht über alle Rechte und Möglichkeiten. Das ist ein wichtiger Sicherheits-Baustein: Denn falls es einem Angreifer tatsächlich einmal gelingt, eine Malware auf das Android-Smartphone einzuschleusen, kann es nicht das gesamte System angreifen, sondern nur im Rahmen der Rechte sein Unwesen treiben, die der App bei deren Installation eingeräumt wurden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr

Hosted by:    Security Monitoring by: