DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Mein Handy spio­niert mich aus!

Handy als Spion

Handy als Spion

Mein Handy spio­niert mich aus! Dass dies nicht nur eine Ver­schwö­rungs­theorie von einigen phan­ta­sie­vollen Mit­men­schen ist, weiß man spä­testens seit das Sicher­heits­un­ter­nehmen Kas­persky Lab die Software „Skygofree” in Mobil­te­le­fonen ent­deckt hat. Obwohl erst Anfang dieses Jahres ver­öf­fent­licht, soll die Malware bereits seit 2014 aktiv sein. Durch ständige Wei­ter­ent­wicklung kann das „Werkzeug” inzwi­schen Whatsapp und SMS mit­lesen, Kamera und Mikrofon heimlich ein­schalten und auch den Standort des Gerätes an den Angreifer über­mitteln. Bei manchen Handys ist auch eine kom­plette Fern­steuerung des mobilen Gerätes möglich. Außerdem bleibt sie auch aktiv, wenn der Bild­schirm aus­ge­schaltet ist.

Wenn Sie nicht von Skygofree betroffen sind, dann mag das viel­leicht daran liegen, dass die Malware aus Italien stammt und es laut Kas­persky Lab bisher mehrere Opfer in Italien gibt. Zudem müssen Sie sich, damit sich Skygofree aktiv wird, ein „Update zur Ver­bes­serung der Mobil­ge­schwin­digkeit” manuell her­un­ter­laden und instal­lieren. Und das auch noch von einer Web­seite, die von den Angreifern den Web­seiten von füh­renden Mobil­funk­netz­be­treibern nach­geahmt wurde. Also alles sehr unwahr­scheinlich, dass mein Smart­phone davon betroffen ist? Nun, zumindest bei dieser Malware, die bekannt geworden ist.

Aber es muss ja nicht immer Malware sein, die uns belauscht. Es gibt auch eine ganz legale Mög­lichkeit für das Handy die Umgebung abzu­hören. Zumindest behauptet dies das Startup-Unter­­nehmen „Alp­honso” aus den USA. Ihr Geschäfts­modell besteht darin spe­zielle Software in Apps aus den Bereichen Gaming, Messaging und Social Apps zu inte­grieren, um über das Mikrofon des Smart­phones die Wer­be­spots und Sen­dungen zu iden­ti­fi­zieren, die der Anwender gerade im TV schaut. Diese Daten werden dann mit den Stand­ort­daten des Handys an die Firma über­mittelt um „ziel­grup­pen­ori­en­tiertes Mar­keting” zu ermög­lichen. Laut Aussage des CEO von Alp­honso gibt es bereits 1000 ganz legale Apps, in denen die „Lausch-Software” ent­halten ist. Bei zahl­reichen der betrof­fenen Apps sind Kinder die Ziel­gruppe. Die Firma „Sil­verpush” über­wacht mit einer ähn­lichen Technik bereits seit 2015 inzwi­schen ca. 18 Mil­lionen Smart­phones. Weitere Firmen ziehen nach und arbeiten an ähn­lichen Geschäfts­mo­dellen. Ob dies wirklich legal ist und auch den Vor­schriften der US-Regu­­lie­­rungs­­be­­hörde FCC ent­spricht – wie der CEO von Alp­honso behauptet — ist nicht so ganz klar. Die Firmen ver­weisen auf ihre Home­pages in denen diese Sammlung von Daten aus­führlich beschrieben ist. Nur kennt kaum ein Nutzer der betrof­fenen App diese Info-Seite, denn viel wissen ja nicht einmal, dass in der instal­lierten App neben der eigent­lichen Funktion noch „Zusatz­funk­tionen” ent­halten sind. Für die Firma Vizio hat die Idee Nut­zer­daten zu sammeln und zu ver­kaufen jeden­falls zu einem Ver­gleich vor Gericht und zu einer Zahlung von 2,2 Mil­lionen Dollar geführt. In den von der Firma ver­kauften Smart-TVs war Zusatz­software ent­halten, die ohne Wissen der Benutzer Inhalte und per­sön­lichen Daten an die Server von Vizio gesendet hat.

Wie es mit Alp­honso und den anderen Firmen mit ähn­lichen Geschäfts­mo­dellen wei­tergeht ist noch unklar. Die ame­ri­ka­nische Daten­schutz­or­ga­ni­sation Center for Demo­cracy and Tech­nology (CDT) warnt zumindest in Amerika vor solchen Methoden. Beim BSI (Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik) findet man eine Warnung zu dem Thema bei der Ver­wendung von Smart-TVs. Im IT-Grun­d­­schut­z­handbuch und in den Bro­schüren zu mobilen Geräten wird vor vielen ver­schie­denen Angriffs­mög­lich­keiten und Malware für Smart­phones jedoch nicht vor der Daten­sammlung durch legale Apps gewarnt. Hier sollte man vor allem einen der letzten Punkte beim „Über­blicks­papier Smart­phones” beachten: „… Wenn Anwen­dungen instal­liert werden, sollten diesen nur die Rechte ein­ge­räumt werden, die unbe­dingt erfor­derlich sind…”.

Wenn man erst einmal die Firma Alp­honso gefunden hat, findet man dort viel­leicht auch den „opt-out-guide”, in dem beschrieben ist wie diese Rechte bei Android oder Apple Geräten gesetzt werden müssen, um den „Lausch­an­griff” zu ver­hindern.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.