DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Schad­software mal anders

 

Wenn man neue Wege beschreitet ist es nicht unge­wöhnlich, dass sich neue Per­spek­tiven ergeben.  Mit Siri und Google Now hielt bereits die Sprach­steuerung Einzug. Was aber, wenn Software zu Ihrem Smart­phone spricht?

 

Musik aus dem Smart­phone ist ja schon lange nichts Unge­wöhn­liches mehr. Auch die Funktion, seinem Smart­phone Anwei­sungen zu erteilen ist schon in die Jahre gekommen. Mit dem schon seit Jahren vor­an­schrei­tenden Internet der Dinge ist es dann auch nicht weiter ver­wun­derlich, dass die Smart­phones sprechen lernen.

Es hat dann schon etwas Eigen­tüm­liches, wenn sich bei­spiels­weise das Smart­phone mit sich selber unterhält. Die aktuelle Meldung „Wenn das Smart­phone teure Selbst­ge­spräche führt“  hatte auf den ersten Blick schon mal Unter­hal­tungswert.
 
Was hier am werden ist, ist aller­dings nicht mehr zum Schmunzeln – sondern gerade für Unter­nehmer ein Fall für den Daten­schützer und die IT-Sicherheit: Das Ergebnis einer For­schungs­arbeit ist eine App Namens „VoicEm­ployer“. Die App nutzt die ein­ge­baute Sprach­steuerung moderner Smart­phones, um diesen Kom­mandos zu erteilen wie z.B.:

“Ok, Google: Wähle teure Premium-Ruf­­nummer.“

Der Sprach­steuerung liegt ein Mecha­nismus zugrunde, der per­manent die Geräusche seiner Umwelt mit­schneidet und ana­ly­siert. Sprache kann so aus­ge­filtert und Befehle aus­ge­führt werden, soweit diese dem Reper­toire vor­han­dener Befehle ent­sprechen.

Die Software spielt nun eine Audio-Datei ab, die von der Sprach­er­kennung als Befehl inter­pre­tiert und aus­ge­führt wird.
 
Um Miss­brauch gerade von Tele­fon­daten und ‑funk­tionen zu ver­meiden wurde ein Rech­te­konzept ent­wi­ckelt, bei dem der Nutzer der App explizit Zugriffs­rechte darauf ein­räumen muss.

 „Ziel des For­schungs­pro­jekts sei gewesen, die mög­lichen Gefahren auf­zu­zeigen, die von soge­nannten Zero-Per­­mission-Apps aus­gehen. Das sind Pro­gramme, die über Androids Rech­te­ver­waltung kei­nerlei Zugriffs­rechte anfordern – also ins­be­sondere keinen Zugriff auf Telefon- und SMS-Fun­k­­tionen haben sollten.“

Und nun über­legen Sie mal gut, ob und was Sie in den Ein­stel­lungen kon­fi­gu­riert haben – und welche Befehle im Smart­phone aus­ge­führt werden könnten. Ist bei­spiels­weise das Ver­senden oder Löschen von Daten möglich? Lassen Sie ihrer Fan­tasie ruhig freien Lauf – es findet sich sicher ein Pro­gram­mierer dafür.

Tricky bei dieser Software ist der neue Ansatz. Die gän­gigen Schutz­me­cha­nismen gehen ja gerne von einem  direkten Angriff aus. Daher wird bei­spiels­weise per Rech­te­ver­waltung der direkte Zugriff auf bestimmte Daten und Funk­tionen untersagt. Hier wird nun „über Bande“ gespielt – und damit laufen die aktu­ellen Sicher­heits­vor­keh­rungen mehr oder weniger ins Leere.
 
Es gibt aller­dings ein paar Ein­schrän­kungen: Der Angriff funk­tio­niert erstens nur dann unein­ge­schränkt, wenn das Smart­phone ange­schaltet und nicht mit einem Passwort oder einer PIN gesi­chert ist (was Schät­zungen zufolge zwi­schen 30 und 60 Prozent aller Smar­t­­phone-Besitzer nicht tun). Das Passwort ver­hindert zumindest den Zugriff auf den vollen Funk­ti­ons­umfang der Sprach­eingabe und damit zum Bei­spiel das heim­liche Ver­senden von SMS. Den Anruf von Pre­mi­um­nummer aber kann es nicht ver­hindern.
 
Und bedenken Sie, es handelt sich hier um eine Kon­zept­studie. Findige Pro­gram­mierer müssen nur die Form der Daten­übergabe modi­fi­zieren, um die –nur evtl. vor­­han­­denen- Ein­schrän­kungen zu umgehen.

Fazit:

Natürlich gibt es bei dem aktu­ellen For­schungs­projekt noch Haken und Ösen. Wie bei allen anderen Neue­rungen findet sich jedoch sicher bald jemand, der auch diese „Her­aus­for­de­rungen“ löst.

Auch hier gilt einmal mehr: Nicht blau­äugig Apps/Software instal­lieren oder nutzen! Neu­artige Angriffe müssen erst einmal ana­ly­siert werden, bevor neue Schutz­me­cha­nismen eta­bliert werden können. Eine besonders wichtige Rolle über­nimmt einmal mehr der Anwender.

Wei­ter­füh­rende Info zu “Ver­hal­tens­regeln für Mit­ar­beiter zur Infor­ma­ti­ons­si­cherheit” finden Sie im gleich­na­migen Leit­faden.

Bild: © Windorias / pixelio.de  

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.