"banner top"

Smartphone - Das (un)sichere Device fürs Sichere

Download

Wir haben uns daran gewöhnt, dass persönliche, sicherheitsrelevante Aktivitäten im Internet stattfinden. War das Mittel der Wahl bisher der PC zu Hause, wird immer mehr das Smartphone zu Rate gezogen.

2007 brach die Ära des Smartphones an. Nun war der Benutzer «always on» bzw. «always in», und für jeden Online-Dienst muss seither eine entsprechende App bereitgestellt werden: «There’s an App for That». Doch dies ermöglicht auch dem Cyberkriminellen «stets dabei» zu sein. Im Jahre 2012 konnte das RISIS zeigen, wie einfach es ist, das E-Banking-Sicherheitskonzept einer Bank komplett zu unterminieren, sobald das Smartphone in die Sicherheitskette eingebunden wird.
Die feindliche Übernahme eines Smartphones gelingt deshalb, weil es entgegen der Aussage der Virenschutzhersteller im Allgemeinen nicht möglich ist, ein Schadprogramm auf einem Computer zu entdecken. Genau dieser Umstand lässt den Cyberkriminellen, stets als Gewinner hervorgehen, wenn es darum geht, dem Benutzers die Kontrolle über sein Smartphone zu entziehen.

Der Feind in meinem Smartphone
Doch wie kommt das Schadprogramm auf das Device? Dies gelingt stets durch den geblendeten Benutzer selbst, ohne auf Schwachstellen des Gerätes angewiesen zu sein. Dabei wird der Fakt ausgenutzt, dass Apps untereinander kommunizieren können. So gelingt dem Cyberkriminellen, das Smartphone des Benutzers häppchenweise mit scheinbar unabhängigen Apps zu übernehmen. Der Benutzer steht dem hilflos gegenüber, da die einzelnen Apps komplett unauffällig wirken. Ihre Berechtigungsanforderungen sind stets bescheiden, sodass sich diese den vordergründigen Aufgabe gut zuschreiben lassen. Wenn die einzelnen Apps sich dann im Hintergrund zusammenschliessen, kumulieren sich deren Fähigkeiten zu einer Meta-App mit immensen Berechtigungen, welche der skeptische Benutzer so nie zugelassen hätte. Im Folgenden werden konkrete Angriffe beschrieben, welche im RISIS simuliert wurden.

Angriff auf E-Banking mit sogenanntem mTAN als Schutzmechanismus: Der Benutzer wurde dazu gebracht, zwei scheinbar unabhängige Apps zu installieren, welche für sich gesehen jeweils einen scheinbaren Sicherheitsgewinn in verschiedenen Domänen bringen. Die eine App beschäftigte sich mit der Erhöhung der Privatsphäre beim Empfang von SMS-Nachrichten (Secure- SMS-Receiver). Die App verlangte ausschliesslich die Erlaubnis für den Empfang von SMS-Nachrichten, was die App sehr vertrauenswürdig macht. Eine zweite App beschäftigte sich mit der Erhöhung der Privatsphäre beim Arbeiten im Internet (Secure-Browser). Diese App verlangte ausschliesslich die offensichtliche Erlaubnis für den Zugriff auf das Internet. Vordergründig funktionierten die Apps wie angepriesen und erzeugten den beschriebenen Sicherheitsgewinn.
Im Hintergrund aber warteten die beiden Apps nur darauf, dass der Benutzer eine E-Banking-Session initiierte. Die Apps waren darauf aus, autonom kriminelle Machenschaften im Bereich E-Banking (mit mTAN) ausüben, was selbst Sicherheitsexperten auf diesem Gebiet nicht entdecken konnten.

War die E-Banking-Session eröffnet, tätigte die Meta- App unsichtbar für den Benutzer eine Geldtransaktion, fing die SMS der Bank zur Transaktionsbestätigung ab und konnte so im Hintergrund die Transaktion bestätigen, ohne dass der Mensch im Vordergrund überhaupt etwas mitbekommen hat. Denn die SMS-Empfangs-App löschte die SMS wieder, bevor der Mensch überhaupt vom Smartphone auf die SMS aufmerksam gemacht werden konnte. Selbst der online verfügbare Kontoauszug wurde von der Meta-App so verfälscht, dass der Benutzer beim Betrachten des Kontoauszuges (ob auf dem Bildschirm oder ausgedruckt) keinerlei Verdacht schöpfen konnte. Die kriminellen Machenschaften wurden komplett vor dem Benutzer verborgen.

Angriff auf Passwörter: Dem Benutzer wurde eine App schmackhaft gemacht, welche überhaupt keine Berechtigungen einforderte, aber im Hintergrund ein Bewegungsprofil aufnahm. Sobald ein beliebiges Programm eine Passworteingabe verlangte, konnte aus dem Bewegungsprofil, welches durch das blosse Tippen der Buchstaben auf dem Smartphone entstand, sehr genau auf die Passwortlänge und die vermutlich benutzten Zeichen geschlossen werden.

Airgap: Bis 2012 wurde vermutet, dass die Kombination PC − Smartphone sicher sei, da keine direkte Kommunikation zwischen den beiden Welten möglich sei, also der sogenannte «Airgap» die beiden Welten trennt. Doch dieser Irrglaube konnte das RISIS 2012 theoretisch und später auch praktisch widerlegen. Es gelang mittels Ultraschall eine Meldung zwischen einem Smartphone und dem PC auszutauschen, ohne dass der Benutzer dies bemerkte. Dies funktioniert unter «günstigen»Bedingungen sogar über mehrere Meter hinweg. So wurde ein neuer Seitenkanal erschaffen, welcher für weitere Angriffe genutzt werden kann.

Vertrauenswürdige Geräte
Diese ausgewählten Beispiele zeigen deutlich, warum das Smartphone nicht als Teil eines vertrauenswürdigen Gerätes in einer Sicherheitskette fungieren darf. Es fehlt ihm eine vertrauenswürdige Ausgabeeinheit (Bildschirm), eine vertrauenswürdige Eingabeeinheit (Tastatur) und es ist frei programmierbar. Es sind genau diese drei Eigenschaften, welche aber ein vertrauenswürdiges Gerät ausmachen: Sichere Ein- und Ausgabe und nicht-modifizierbarer Programmspeicher.
Solche Geräte existieren: Beispielsweise bietet IBM seit mehreren Jahren den sogenannten ZTIC an, der im E-Banking-Bereich der UBS zum Einsatz kommt. Auch die Firma Cronto bietet ein vertrauenswürdiges Gerät in diesem Bereich an. Aber die Banken (wie z.B. die Raiffeisenbank) setzen das Gerät von Cronto nicht direkt ein, bieten stattdessen eine App für das Smartphone an, welche angeblich die gleichen Eigenschaften aufweist. Eine Nachfrage unsererseits bei der Raiffeisenbank ergab, dass die Marketingabteilung sich dem Kundenwunsch beugt und dafür die Sicherheit komplett in den Wind schlägt: «There MUST be an App for That».