Gefahren bei mobilen Geräten

Längst gehen Angriffe nicht nur gegen Heim- oder Firmen-Computer. Angreifer richten sich mittlerweile auch gegen all diejenigen, die mit ihren mobilen Geräten wie Smartphone oder Tablet unterwegs oder zu Hause surfen.

Angriffsmöglichkeiten:

Manipulierte Apps

Einer der größten Sicherheitsrisiken für Nutzer von mobilen Geräten ist das Herunterladen von Apps. Werden unvorsichtig Apps aus „nicht vertrauenswürdigen Quellen“ installiert, kann dies ungeahnte Folgen haben. Apps können im Hintergrund unbemerkt Verbindungen ins Internet aufbauen, womit es Angreifen möglich ist, das Tablet oder Smartphone auszuspähen. Nicht nur das Ausspähen der Daten auf dem eigenen Gerät ist gefährlich, sondern auch das „kapern“ des Smartphones oder Tablets, bei dem beispielsweise die Kamera gestartet wird oder kostenpflichtige SMS versendet werden.

WLAN - "Man in the middle"

Hierbei klinkt sich der Angreifer ("Man in the middle") zwischen Router und Client, kann dabei mithören oder den Datenverkehr manipulieren. Dieses Szenario ist sehr beliebt, da mit Smartphone oder Tablet gerne ein offenes WLAN genutzt wird. Werden nun zusätzlich die Daten unverschlüsselt ins Netz übertragen, hat der Angreifer ein leichtes Spiel alles mitzulesen und nach seinem Ermessen zu verändern.

Der SSLStrip – Angriff

Hierbei wird der verschlüsselte Verkehr abgefangen und der Nutzer dazu gebracht, eine unverschlüsselte Verbindung zu nutzen. Sobald der Angreifer zwischen dem Opfer und Router sitzt, leitet er den gesamten Verkehr durch das SSLStrip-Tool. Dabei ersetzt dies alle verschlüsselten HTTPS-Verbindungen in HTTP-Verbindungen. Somit kann der Angreifer alle eingegebenen Passwörter, Chats oder ähnliches im Klartext auslesen.

Klick auf Links in E-Mails

Fast jeder Nutzer eines Smartphone oder Tablets ruft von diesem auch seine E-Mails ab. Dies birgt dieselben Gefahren wie am Computer. Doch die Gefahr schnell auf einen falschen Link zu klicken ist deutlich höher. Anders als bei ausgewachsenen Mail-Programmen auf dem PC fehlen wesentliche Funktionen, die etwa erkennen lassen, wohin ein Link wirklich führt. Dann werden mit vorgeblichen Updates Schädlinge eingeschleust, die dem Ausspähen sensibler Nutzerdaten dienen.

mTAN

Durch die Infektion des Computers ist der erste Schritt für das Aushebeln der Sicherheitsfunktionen des mTAN-Verfahrens  getan.

Hier setzt sich der Trojaner in die Kommunikation zwischen Kunde und Bank. Sobald der Computernutzer eine Überweisung eingibt, verlangt ein vom Schädling eingeblendetes Fenster, das angeblich von der Bank stammt, die Eingabe verschiedener Daten des Smartphones des Benutzers. Angeblich soll damit ermöglicht werden, ein “Sicherheitsupdate” einzuspielen, um die Transaktionen sicherer zu machen. Sobald der Kunde die Daten eingegeben hat, wird auf das Handy der Link zu einer „App“ geschickt. Wird nun diese „App“ installiert, werden die übermittelten TAN-SMS abgefangen und umgeleitet. Damit kann der Täter die Überweisung auch ohne Einverständnis des Bankkunden authorisieren.

Akkuladen

Jedes Smartphone oder Tablet kann über den PC aufgeladen werden. Dies ermöglicht Angreifer einen neuen Angriffsvektor zu nutzen.
Ist das Ladegerät oder Laptop präpariert, kann damit das gesamte Gerät mit all seinen Daten ausspioniert und kopiert oder Schadsoftware darauf installiert werden.

Biometrische Sperre kompromittieren

Den eigenen Fingerabdruck hat man immer dabei und er nur mit großem Aufwand zu bekommen bzw. zu fälschen. Dennoch sollte man diese Methode nur dann verwenden, wenn man weiß, dass die Abbilder der Fingerabdrücke verschlüsselt auf dem Smartphpone gespeichert und nicht an Server gesendet werden.

Fingerabdrücke manipulieren

Sollte eine höhere kriminelle Energie im Spiel sein, so können verschiedene Oberflächen wie z. B. Gläser, Türklinken, etc. als Fingerabdruckquellen dienen. Abhängig davon, welche Sensoren im Smartphone eingebaut sind – optische, kapazitive oder Ultraschallsensoren – können diese auf verschiedene Wege manipuliert werden. Der Sensor eines Smartphones überprüft ja nicht den gesamten Fingerabdruck, da er dafür zu klein ist, sondern es werden lediglich einzelne Kriterien geprüft. Dadurch ist die Analyse nicht eindeutig. Es gibt sog. „universelle“ Fingerabdruck, dessen Kriterien sich auf zahlreichen Fingern vorzufinden sind. Mit dem kann mehr als ¾ der Handys entsperrt werden.

Gesichtserkennung

Die Gesichtserkennung als alleinige Sperrmethode ist bei einfachen Selfie-Kameras nicht sicher, denn bei zahlreichen Versuchen werden Smartphones mit Hilfe eines Fotos, das vor die Kamera gehalten wird, entsperrt. 

Mehr Sicherheit für mobile Geräte

Erfahren Sie mehr

  • Schutz für mobile Geräte

    Folgen Sie niemals einer Aufforderung zu einem Sicherheitsupdate, ohne vorher bei der Bank nachgefragt zu haben.

    Weiterlesen