Security 2013: Angriffsziel Smartphone

Security-Ausblick von AdNovum: Zunehmendes Android-Malwareproblem, relativ sicheres iOS, mehr zielgerichtete Attacken und neue Bedrohungsfelder wie 3D-Druck und Smart Metering.
 
Schon zum dritten Mal waren heute die Medien vom Zürcher High-End-Security- und Software-Engineering-Dienstleister AdNovum zum jährlichen "Security Update" geladen. Noch-CTO und CEO in spe Christof Dornbierer informierte zunächst über die Entwicklung der Bedrohungslage. So hätten in letzter Zeit gezielte, teils politisch motivierte Angriffe auf einzelne Industrien oder bestimmte Länder deutlich zugenommen. Als Beispiel nannte Dornbierer neben bekannten Schädlingen wie Stuxnet und Mahdi die Gauss-Malware, die speziell auf Banking-Anwender im Libanon losging. Es sei ein eigentlicher "Cyber-Krieg mit hochspezialisierten Lenkwaffen" im Gang.
 
Der Schadcode muss dazu exakt auf den Zielcomputer abgestimmt sein. Die Lenkwaffe besteht aus einem verschlüsselten Teil der Malware, der nur auf dem angezielten System mit einem individuellen, durch vorheriges Auskundschaften von Registry- und anderen gerätespezifischen Daten konstruierten Schlüssel aktiviert werden kann. Der Schadcode wird also gewissermassen kundenspezifisch.
 
Als weitere Bedrohungen, die erst im Entstehen begriffen sind, nennt Dornbierer die Herstellung physischer Gegenstände wie etwa Schlüsseln oder Waffen mit Hilfe von 3D-Druckern auf Basis von im Internet zugänglichen Plänen. Auch Attacken auf das Stromnetz über die künftige Smart-Metering-Infrastruktur sind eine neue Bedrohung - dieser Industriesektor habe sich bisher wenig um die Sicherheit gekümmert.
 
Attacken auf Mobilgeräte hoch im Kurs
Die hochspezialisierten Lenkwaffen und die neuen Bedronungen betreffen die breite Anwenderschaft kaum. Umso mehr gilt dies für Sicherheitsbedrohungen, die auf Smartphones und andere Mobilgeräte abzielen. Generell, so die Statistik, nimmt die Anzahl internetfähiger Mobilgeräte global zu. Je nach Standort liegen Android (weltweit, europaweit und Asien) oder iOS vorne (in der Schweiz). Ein modernes Smartphone, so AdNovum, sei einerseits ein vollwertiger PC und deshalb prinzipiell ähnlichen Bedrohungen ausgesetzt. Ausserdem sei das Smartphone ein Aggregationspunkt für alle möglichen Informationen wie Kontakte, Fotos und Dokumente sowie Zugriffe auf die verschiedensten Internet-Dienste - sprich: Es lohne sich aus Sicht eines Datendiebs ganz besonders, ein Smartphone zu knacken. Und drittens handle es sich um hochentwickelte mobile Sensorgeräte: Dank Mikrofon, Kamera und GPS lässt sich der Anwender bildlich, akustisch und bezüglich seines Standorts ausspionieren. Grund genug also für Malware-Autoren, die Mobilplattformen verstärkt zu berücksichtigen.
 
Offenheit versus Sicherheit - oder Android versus iOS
Interessant ist ein Vergleich der beiden meistverbreiteten Mobilplattformen. Die Erkenntnis von AdNovum: Die Mechanismen unterscheiden sich zwischen iOS und Android fundamental, und zwar sowohl was Angriffe durch Malware als auch was das Knacken der Gerätesicherung bei physischem Zugriff betrifft.
 
Die Unterschiede beginnen schon bei der App-Installation. Sowohl auf iPhone und iPad als auch auf Android-Geräten muss jede App eine gültige Signatur besitzen. Während diese in der iOS-Welt jedoch immer durch Apple ausgestellt wird, kann der Android-Entwickler seine Apps selbst signieren. Auf Android sind zudem neben dem Google-eigenen Play-Store auch andere App-Läden zugelassen, während Apple nur die Installation von Apps aus dem eigenen Store erlaubt. Apple prüft überdies jede einzelne App auf Herz und Nieren, bevor sie in den Store gestellt wird - manchen Entwickler haben die oft überlangen Freigabezeiten schon entnervt. Bei Google Play, so AdNovum, finde dagegen nur eine automatische Prüfung statt.
 
Auch das Berechtigungsmodell sei bei Apple stringenter: Zwar habe jede iOS-App von Haus aus Internet-Zugriff, daneben stünden aber nur wenige weitere Berechtigungen wie Zugriff auf Kamera, GPS-Standort, Kontakt- und Kalenderdaten, Reminder und Fotos zur Verfügung. Zudem müssen diese jeweils durch den Anwender beim ersten Aufruf der entsprechenden Funktion explizit freigegeben werden. Android dagegen biete dem Entwickler eine Fülle von Berechtigungen, die der Anwender nur bei der Installation der App freigeben müsse. Aus all dem lässt sich schliessen, dass iOS prinzipiell Malware-resistenter daherkommt als Android - dafür ist Android das offenere und flexiblere System.
 
Die Flexibilität und gleichzeitige Verwundbarkeit von Android demonstrierte Software Engineer Antonio Barresi mit einer Android-Malware in Form einer unscheinbaren App, die nach der Installation den gesamten SMS-Verkehr ausliest und via Internet an den Hacker übermittelt. So etwas wäre beim iPhone nicht möglich, denn iOS erlaubt den Apps überhaupt keinen Zugriff auf die SMS-Funktionalität.
 
AdNovum stellt dementsprechend fest, Android-Malware sei ein wachsendes Problem, während für iOS bisher praktisch keine Schadsoftware existiere. Im Fall Android tragen demnach vor allem die unabhängigen App-Stores zur Schadcode-Gefahr bei. Und: Android übertrage dem Anwender durch die hohe Flexibiltät des Systems grosse Verantwortung - "vielleicht zuviel".
 
Passcode knacken: Aufwand unterschiedlich
Wird ein Smartphone gestohlen, will der Dieb wohl als Erstes den Passcode knacken, um zu den Daten zu gelangen oder das Gerät selbst zu nutzen. Auch hier gibt es, so Adnovum, Unterschiede zwischen iOS und Android. Jedes iOS-Gerät ist hardwareseitig mit einem Encryption-Modul ausgestattet, mit dem der Device Key generiert wird, eine Art Generalschlüssel, mit dem alle Daten auf dem Gerät verschlüsselt werden.
 
Wer nicht manuell sämtliche möglichen Passcodes durchprobieren will, muss das Gerät deshalb mit einem manipulierten iOS starten (also einen so genannten Jailbreak durchführen), um per "Brute Force" die möglichen Passcodes automatisiert abzuarbeiten. Die Brute-Force-Attacke lässt sich bei iOS also nur auf dem Gerät selbst durchführen.
 
Anders bei Android: Hier ist kein Encryption-Modul und kein Device Key vorhanden, so dass der Brute-Force-Angriff auf den Passcode auch durch eine Software erledigt werden kann, die mit entsprechend höherer Rechenleistung ausserhalb des Geräts läuft. Die Folge: Das Knacken des Passcodes dauert bei iOS massiv länger als bei Android. Senior IT Consultant Aldo Rodenhäuser demonstriert das Passcode-Knacken eindrücklich und nennt Vergleichszahlen. Ein vierstelliger numerischer Code sei auf einem iOS-Gerät in 18 Minuten zu knacken, bei Android sei nur mit einer Minute zu rechnen. Längere und/oder alphanumerische Passcodes sind natürlich sicherer. Ziemlich sicher sei ein sechsstelliger Code aus Zahlen und Buchstaben. Um diesen zu knacken, bräuchte das iPhone acht Jahre, und auch die externe Android-Knacksoftware wäre 163 Tage beschäftigt. (Urs Binder)