Datenspionage auf Applikationsebene
Richtet man sich root-Rechte etwa auf seinem Android-Smartphone ein, kann Schadcode die abgesicherte Sandbox verlassen und in Systemdateien tätig werden. Gefährdet sind folglich auch iPhones, die per "Jailbreak" aufgeschlossen werden, damit sich nicht offiziell von Apple zugelassene Software auf dem Gerät installieren lässt. Inzwischen können auch technisch unbedarfte Nutzer leicht ihr Gerät öffnen. Allerdings hat der Schweizer IT-Experte Nicholas Seriot (http://seriot.ch/blog.php?article=20091203) demonstriert, dass sich Daten auch auf einem normalen iPhone ohne Jailbreak mit einer gezielten App ausspionieren lassen. Dabei gelingt es seiner Software "SpyPhone", Apples Sandbox zu verlassen und in Bereichen zu wildern, die bisher als sicher galten.
Überhaupt sind Apps ein vielversprechender Angriffsvektor. Sie werden in der Regel von "offiziellen" Marktplätzen bezogen und genießen daher einen Vertrauensvorschuss. Allerdings ist es nicht realistisch, dass die Store-Betreiber wie Apple und Google alle eingereichten Anwendungen im Vorfeld dahingehend kontrollieren, ob sie Schadcode enthalten. So konnte im vergangenen Herbst ein App-Trojaner auf der Android-Plattform Bankdaten ausspionieren. Auf dem "Android Market" wurden Anfang Juni knapp 70.000 Apps gezählt, Apples "App Store" kommt aktuell auf über 220.000 Programme. "Die Applikationsebene wird immer wichtiger", so Security-Experte Funk, "denn die Prozesse sind relativ leicht angreifbar".
Ein weiteres Problem stellt auch die Mischung der privaten und geschäftlichen Nutzung von Smartphones dar. "Viele Unternehmen bewegen sich hier mit ihren Sicherheitsrichtlinien in einer Grauzone", berichtet Funk aus der Praxis. Gerade soziale Dienste im Web 2.0 leben davon, dass ihre Nutzer regelmäßig darauf zugreifen - also nicht nur während der üblichen Bürozeiten. Und der Einsatz von zwei Smartphones für Beruf und Privatleben ist zwar möglich, aber nicht wirklich bequem. Hinzu kommt, dass sich selbst versierte Anwender schwer tun, das Sicherheitsniveau ihres PCs auch auf dem Mobilcomputer sicherzustellen, weil kaum Erfahrung im Umgang mit dem Smartphone vorhanden ist. Dass P2P-Tauschbörsen nicht nur beim Zugriff über den PC unsicher sind, sollte jeder Smartphone-Nutzer verinnerlicht haben.