Smartphone: Wie sicher sind meine Daten?

Wie leicht können sich Betrüger ungeschützte Daten auf dem Smartphone zunutze machen? Was kann man tun, wenn man abgezockt wurde?

Unsere zwei Testpersonen Panthea und Can statten wir mit jeweils einem iPhone aus und bitten sie in die Innenstadt von Leichlingen. In einem nahegelegenen Eiscafe haben bereits zwei Mitarbeiter einer Firma für Computersicherheit Platz genommen. Mit einem normalen Laptop und wenigen Kabeln bauen sie dort für unseren Test einen Hotspot auf - ein Funknetz für Smartphones. Sie nennen ihn „freehotspot“ und wollen damit unsere Testpersonen anlocken, um die Kontrolle über ihre iPhones zu übernehmen.

Voller Zugriff auf das Smartphone

Und tatsächlich finden unsere Testpersonen auf der Suche nach einer schnellen Datenverbindung den Hotspot sofort und loggen sich ein. Dabei überspielen die beiden Mitarbeiter der Sicherheitsfirma unbemerkt eine selbstprogrammierte Schadsoftware auf die Smartphones. Zwei Minuten später haben sie vollen Zugriff auf beide Geräte. Sie können die Handys komplett bedienen und kommen an sämtliche Daten.

Ferngesteuert und von Can völlig unbemerkt rufen sie zum Beispiel die SMS-Anwendung seines Smartphones auf und tippen eine teure ausländische Nummer ein. Can selbst würde so etwas nie machen: „Wenn man sich ein Bild oder einen Klingelton da runterlädt bei diesen Anbietern, dann schließt man automatisch auch ein Abo mit ab. Das ist pure Abzocke und ist sauteuer!“ Aber genau das haben die beiden Experten gerade über Cans Handy getan, ohne dass er etwas davon mitbekommen hat. Auch in seinem Postausgang ist nichts zu sehen.

Einkaufen auf fremde Rechnung

Smartphones sind vor allem wegen ihrer vielen Programme, der sogenannten Apps, so beliebt. Panthea sucht eine App im Store des Herstellers. Ein Kauf bedeutet für sie kein Risiko: „Ja, das empfinde ich als sicher, weil ich lade das einfach runter. Und die wollen ein Passwort von mir. Und das Passwort kenne ja nur ich.“

Schön wär’s! Aber unsere beiden Computerexperten starten ein Programm, mit dem sie jeden Tastenanschlag von Panthea verfolgen können - auch die Zugangsdaten für den Store. Und so beginnen sie ihre Einkaufstour: Musik, Programme, Videos - alles können sie auf fremde Rechnung einkaufen.

Erst mit der nächsten Telefon- und Kreditkartenrechnung würden Panthea und Can den Betrug bemerken – wenn unser Test denn ein Ernstfall gewesen wäre.

Nachtrag

In unserem Beitrag wurde dargestellt, wie zwei Smartphones, das iPhone 3GS und das iPhone 4 „gehackt“ wurden. Nach Ausstrahlung des Films kam es zu teilweise heftigen Diskussionen in Internetforen und Online-Magazinen. Außerdem haben wir viele Zuschriften von Zuschauern bekommen, die an dem Thema sehr interessiert waren. Deshalb möchten wir, wie versprochen, dazu noch einmal Stellung nehmen:

Die zwei Geräte waren mit dem Betriebssystem iOS 4.3.3 ausgestattet. Sie befanden sich im Zustand der Werkseinstellung. Dabei waren die Geräte von den Mitarbeitern der Sicherheitsfirma @-yet GmbH unmittelbar vor Beginn des Tests auf die sogenannte „Werkseinstellung“ zurückgesetzt worden. Es wurde im Übrigen nie behauptet, die Smartphones seien „fabrikneu“ gewesen. Vielmehr wurde im Bericht von „quasi fabrikneuen Geräten“ gesprochen, was aufgrund der Rücksetzung auf die sogenannte „Werkseinstellungen“ sachlich richtig ist.

Den Mitarbeitern der @-yet GmbH gelang es, ohne ein vorher durchgeführtes Jailbreak der Geräte und ohne Installation einer Malware, durch einen von außen erzwungenen Jailbreak über eine Schwachstelle im Browsersystem die Geräte zu übernehmen. Voraussetzung war, dass sich die Smartphones vorher auf einen nicht verifizierten und von den „Hackern“ selbst aufgebautem Hotspot eingewählt hatten. Dieser Jailbreak wurde dann genutzt, um die komplette Kontrolle innerhalb des Netzwerkes zu übernehmen. Selbst Tastenanschläge, die auf dem Smartphone getätigt wurden, konnte der sogenannte „Hacker“ nachvollziehen.

Der Ablauf des im Beitrag geschilderten Tests wurde unter Aufsicht des unabhängigen und anerkannten Gutachters Prof. Dr. Norbert Pohlmann, Direktor des Instituts für Internetsicherheit an der Westfälischen Hochschule Gelsenkirchen, und seinem Projektleiter Oliver M. Achten, verantwortlich für Mobile Security, wiederholt. Die beiden Gutachter haben während des gesamten Tests die Geräte und den Ablauf überwacht und analysiert. Sie konnten danach bestätigen, dass die Geräte nicht manipuliert waren oder wurden. Das war zum Beispiel einer der immer wieder vorgebrachten Vorwürfe. Vielmehr wurde der Jailbreak durch eine erkennbare Schwachstelle im Browser zwangsweise durchgeführt. Damit wurde die komplette Kontrolle über das Smartphone übernommen.

Zudem können und dürfen wir in dem Film keine technische Anleitung für den Hackvorgang zeigen, da auch betriebliche Geheimnisse offenbart worden wären. Um nicht für jeden „bösen“ Hacker die genaue Schwachstelle nachvollziehbar zu machen, musste es im Film aus Sicherheitsgründen verkürzt werden. Andernfalls wäre die Gefahr groß gewesen, dass auch andere Smartphone-Nutzer geschädigt worden wären.

Die Sendung markt hat mit dem Beitrag die Absicht verfolgt, dass Smartphone-Nutzer sich genau überlegen sollten, ob sie sich auf kostenlosen, unbekannten Hotspots einloggen. Der Beitrag sollte über mögliche Risiken für alle Nutzer von Smartphones – und zwar unabhängig vom Hersteller – aufklären.

Übrigens weist auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zurzeit darauf hin, dass der verwendete Browser „Safari“ in der sogenannten „Schwachstellenampel“ mit der Bewertung “ROT” versehen ist (Link s. u.).