Contents:
Über GPS und Co. Zum Glück kann man die Funktionen aber abschalten.
Smartphones sind die perfekten Überwachungsgeräte. Weil das den Herstellern durchaus bewusst ist, kann man Apps den Zugriff auf die kritischen Features verweigern. Wer es unbedingt will, kann die Schutzfunktionen umgehen - und das fehlender Genehmigung Standort oder Tastatur-Eingaben mitschneiden. Die Idee hinter den "Sidechannel Attacks" ist einfach: Man kann sein System nur dort absichern, wo man mit Angriffen rechnet.
Noubir wählt einen einfachen Vergleich: Sie sind nicht dafür gebaut, Menschen vor den Folgen eines Sturzes von einer Klippe oder eines auf das Dach fallenden Felsens zu bewahren. Wer ein Smartphone knacken will, muss also nur den passenden Felsen finden. Und Noubirs Team sucht genau nach solchen Ansätzen. So fanden sie etwa heraus, wie man Passworteingaben über die Display-Tastatur mitscheiden kann. Ohne dass die für den Angriff genutzte App Zugriff auf die Tastatur hat.
Die Aufzeichnungen glichen sie mit den Daten des Gyroskops ab, also dem Sensor, der die Ausrichtung des Smartphones misst. Beim Tippen bewegt sich das Gerät nämlich ganz leicht - und zwar abhängig davon, wo genau man auf das Display drückt.
Mit versteckter Kamera beobachten wir, wie nur eine Minute später ein Mann das Smartphone entdeckt und sich daraufsetzt. Über GPS und Co. Der Konzern speichert die Aufnahmen zwar auch, sie werden aber nicht mit einzelnen Nutzerkonten verbunden, sind also nicht einer Person zuzuordnen. Immerhin werden sie über den Messenger-Dienst mittlerweile doch hochverschlüsselt versendet. Sind Vorurteile dem Rassismus gleichzusetzen?
Bei der Ortung ist es ähnlich. Jede in eine bestimmte Richtung", erklärt der Experte. Und schon hat man die Fahrt in eine optische Route umgewandelt. Ein ähnlicher Ansatz könnte aber genutzt werden, um herauszufinden, in welcher Stadt eine Person sich aufhält. Mit mehr Aufwand, genaueren Daten und Optimierungen ginge sicher noch mehr, vermutet Noubir.
Wirklich gruselig ist der Ansatz, wenn man sich bewusst macht, dass die genutzten Daten wirklich jeglichen Apps zur Verfügung stehen. Will ein Programmierer die darüber gesammelten Daten missbrauchen, kann ihn der Nutzer nicht davon abhalten. Beim iPhone hilft immerhin, dass die Apps nach wenigen Minuten im Hintergrund eingefroren werden.
Apps können also nur Daten sammeln, wenn sie aktiv genutzt werden. Bei Android ist das nicht der Fall.
Und natürlich wurde auch diese Beschränkung bereits ausgenutzt: Die offizielle Facebook -App lief eine Zeit lang heimlich im Hintergrund - indem sie einen für den Menschen unhörbaren Ton abspielte. Facebook betonte, es habe sich um eine Fehlfunktion gehandelt. Ob das stimmt, ist natürlich nicht nachvollziehbar.
Eine solche App wäre der Traum eines jedes Angreifers. Ein aktueller Trojaner wurde aber gleich in über 30 Apps eingeschmuggelt. Die Werbung versprach ihr kostenlose Produkttests. Die Jährige sollte sich über einen Link auf der dazugehörigen Website die App herunterladen und auf dem Handy installieren.
Die Seite sah seriös aus, man konnte die Markenlogos sehen — das sah für mich absolut schlüssig aus", erzählt Josefine Vondenhoff. Für Tobias Schrödel ist diese nachgebaute dm-Produkttester-Website ein Beispiel dafür, mit welcher Dreistigkeit die Betrüger heutzutage Internetseiten kopieren oder imitieren.
Josefine Vondenhoff ahnte nicht, dass die Drogeriekette ihren Produkttester-Service, den es ja tatsächlich gibt, gar nicht als App anbietet. Sie habe von anderen gehört, die über dieselbe Fake-App Euro oder mehr verloren haben. Josefine Vondenhoff hat die App umgehend von ihrem Handy gelöscht. Die Drogeriekette bietet Kunden zwar an, Produkttester zu werden, sie hat aber keine entsprechende App auf den Markt gebracht. Es handelte sich um eine Fake-App, die Betrüger programmiert hatten, um ahnungslose Kunden abzuzocken. Der Link zu einer falschen Produkttester-Website kursierte vor allem in sozialen Netzwerken.
Die Website war täuschend echt nachgebaut, mit gestohlenen Logos und Designs der Marke dm. Auf dieser imitierten dm-Seite unter dem perfiden Link dm-produkt-tests. Die Nutzer hatten also kaum eine Chance, den Betrug zu erkennen. Noch dazu verlangte diese Fake-App von den Nutzern angeblich "keine besonderen Zugriffe" - erlaubte sie sich aber trotzdem. Die Drogeriekette dm hat sich von dieser App bereits klar distanziert.
Nachdem der Betrug durch die gefälschte App aufflog, wurde die Website gelöscht. Das bedeutet aber nicht, dass nicht bald schon andere, ähnliche Fake-Apps im Internet kursieren. Immer wieder tauchen solche Fake-Apps auf — sowohl auf Internetseiten, als auch — in seltenen Fällen — in den offiziellen App-Stores. In Deutschland werden jedes Jahr milliardenfach Apps geladen, jeder Smartphone-Nutzer hat durchschnittlich 33 Apps auf seinem Smartphone.
Was die App noch brauchte, waren Downloads und positive Bewertungen, die Schrödel einfach für je 34 Cent kaufen konnte. So gehen nämlich auch Betrüger vor. Und auch bei unserer "Partys München"-App stieg die Downloadzahl daraufhin. Mit Partys in München haben die wohl eher nichts zu tun. Und Tobias Schrödel ging — wie viele Betrüger — noch weiter: Das führte dazu, dass plötzlich wirklich viele Leute unsere App geladen haben.
Dadurch kämen nicht nur Kriminelle, sondern auch Tobias Schrödel an sensible Daten im Speicher, weil die Nutzer der App bei der Installation sorglos die Berechtigung erteilt haben. WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte in einem ungeschützten Bereich. Jede andere App, die die Erlaubnis für den Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren. Nur wer bei WhatsApp eingestellt hat, dass empfangene Videos und Bilder automatisch in der Fotobibliothek landen, ermöglicht anderen Apps unter Umständen den Zugriff.
Das lässt sich jedoch in den Einstellungen abschalten. Die Jährige war von seinem Besuch mehr als überrascht. Die Mutter hatte bei der Installation der App die Berechtigung erteilt auf sämtliche Inhalte ihres Handys zugreifen zu dürfen. Wer als Android-Nutzer sichergehen will, dass im Speicher keine allzu privaten, sensiblen Dateien, Fotos oder Videos automatisch landen, kann in den Einstellungen die Funktion "automatisch laden" deaktivieren. Allerdings werden empfangene Fotos und Videos dann bei WhatsApp auch nicht mehr als Vorschau angezeigt. Lediglich, dass etwas angekommen ist.
Die Entscheidung, ob etwas gespeichert werden soll, kann man aber auch im Nachhinein fällen. Sie können die Dateien mit einem Fingerklick herunterladen und begutachten. Wenn Sie dann feststellen, dass das Bild "problematisch" ist, können Sie es aus der Timeline in WhatsApp löschen — dann ist es sowohl aus der Foto-App gelöscht, als auch in dem vermeintlich ungeschützten WhatsApp-Medienverzeichnis. Am Wichtigsten ist es, bei der Installation und auch im Nachhinein zu überprüfen: Welchen Berechtigungen muss ich bei dieser App zustimmen. Das machen sich vor allem Fake-Apps zunutze.
Fake-Apps tarnen sich meist, indem sie vermeintlich attraktive Funktionen bieten oder so tun, als ob sie von seriösen, beliebten Marken oder Spieleherstellern stammen. In Wirklichkeit bieten sie aber kaum oder gar keine Funktionen. Stattdessen wollen sie Daten vom Handy des Nutzers ziehen. Die offiziellen App-Stores sind darauf bedacht, Fake-Apps früh zu erkennen und zu eliminieren.
Insbesondere wenn Markenrechte verletzt werden. Fake-Apps gibt es hauptsächlich für Android. Wer nachdrücklich darauf hingewiesen wird, dass die betreffende App über die Website und nicht über einen App-Store heruntergeladen werden soll, "da müssen die Alarmglocken angehen", sagt Tobias Schrödel. Man solle stets hinterfragen, aus welcher Quelle eine App kommt.
Wer ist der Anbieter? Gibt es sie auch im App-Store? Und ist sie dort schon seit längerer Zeit, nicht erst seit Kurzem? Gibt es schon mehrere Bewertungen aus einem längeren Zeitraum, oder nur wenige aus den letzten Tagen, die von ähnlich klingenden Accounts verfasst wurden und gefakt sein könnten? Tobias Schrödel räumt aber auch ein: Wie schütze ich mich vor einem Datenklau von Fake-Apps?