Versetzt man sich aktuell in die Lage eines Hackers, der nach einem lukrativen Betätigungsfeld sucht, kommen zwei "Spielplätze" in die nähere Auswahl: Der eine - der PC-Bereich - wirkt allerdings ziemlich überlaufen von Windows-Usern und ihren teilweise sehr gut geschützten Rechnern. Auf dem anderen Feld "Smartphones" jedoch tummeln sich vornehmlich Anwender mit Android-Geräten. Sie werden immer zahlreicher und man wird den Eindruck nicht los, dass sich alle ziemlich sicher fühlen. Sorgenfrei binden Sie ihre mobilen Spielkameraden in die Alltags- und sogar in die Business-Kommunikation ein. Ja selbst Bankgeschäfte wickeln sie über ihr Google-Handy ab.
Nach Angaben des Marktforschungsinstituts Nielsen basieren 39 Prozent aller Smartphones mittlerweile auf Android. Das bestätigt auch die Prognose des Marktforschungsinstituts Research2guidance, wonach bis zum Ende des Jahres 2011 mehr Android- als Apple-Smartphones verkauft werden. Fast jeder dritte Nutzer eines App-Stores besitzt heute ein Android-Smartphone. Noch vor drei Jahren waren die iPhone-Jünger mit einem Marktanteil von 74 Prozent fast unter sich. Mittlerweile ist der Abstand deutlich geschrumpft und sind es weniger als 40 Prozent.
Der alarmierende Unterschied aus Security-Sicht: Während iPhone-Besitzer von Malware-Angriffen bislang weitgehend verschont blieben, haben Cyberkriminelle am Android-Hacking scheinbar großen Gefallen gefunden. Denn viele Smartphone-Besitzer halten sorglos ihren mobilen Alleskönner für nicht angriffsgefährdet und ihre Hosen- oder Handtasche scheinbar für Fort Knox - ein Trugschluss!
Wenn es darum geht, neue Mittel in Form von Phishing- oder Spywaretools zu finden, um unmittelbar an sensitive Informationen von Nutzern zu gelangen (Kreditkartendaten, Bankkontennummern etc.), ist der Kreativität der Cyber-Gauner keine Grenzen gesetzt. Da viele User ihr Smartphone sowohl für private als auch für berufliche Zwecke verwenden, können Android-Hacker zwei Fliegen mit einer Klappe schlagen und auf Anhieb auch auf Firmendaten zugreifen. Denn während Desktop-PCs und (teilweise) Laptops in restriktiven und damit gesicherten Netzwerken ausgeführt werden, sind Smartphones meist unabhängig vom Unternehmensnetzwerk konfiguriert. So hat jede Person uneingeschränkten Datenzugang, der ein solches Gerät in die Hände fällt. Ein Fakt, der Geschäftsführern von Unternehmen hinsichtlich des Themas Compliance zusätzlich Sorgen bereiten dürfte.
"Gefahrengut" Apps
Eine ernstzunehmende Gefahr lauert insbesondere bei der großen Zahl von downloadbaren Applikationen. Erst kürzlich verfolgte Security-Software-Hersteller Bitdefender einen Angriff auf Android-User via App: Die Anti-Malware-Experten identifizierten als Verbreitungsweg zwei Online-Videostream-Player, die als Applikationen im Google Android Market erhältlich sind. Freunde und Bekannte kann der Nutzer mittels SMS oder E-Mail über die entsprechenden Viewer informieren. Bei beiden Optionen generiert sich ein vorgegebener Text inklusive Hyperlink in der Eingabemaske für Nachrichten. Die angegebene URL ist aber eine Falle, da sie beim Anklicken zur kompromittierten App Android.Trojan.KuSaseSMS führt. Empfahlen unvorsichtige Nutzer einen dieser Player über einen weitergeleiteten Link an ihre Kontakte, verseuchten sie also unwissentlich sowohl ihre Systeme als auch die ihrer Kontakte - nur ein Beispiel von sich häufenden Fällen bezüglich Angriffen auf Android-Smartphones.
Ein weiteres Einfallstor für Hacker & Co.: Viele Android-Apps speichern sensible Informationen als Klartext ab, was zur Folge hat, dass Nutzernamen und Passwörter unverschlüsselt abgelegt werden. Ist dies bei Apps für die Verwaltung hochsensibler Daten der Fall - Stichwort Online-Banking -, wird Angreifern Tür und Tor geöffnet.
Mobile E-Threats immer raffinierter
Insgesamt ist es für Cybergangster um einiges leichter, von Smartphones Daten zu stehlen als von Desktop-Rechnern oder Laptops. Damit ist nicht nur der simple Fall gemeint, dass Handys häufiger liegen gelassen, vergessen oder ohne Löschung der kritischen Daten entsorgt bzw. weitergegeben werden; schon die Entschlüsselung der Daten geht einfacher von der Hand, allein deshalb, weil die meisten Smartphone-User ihr Gerät gar nicht erst verschlüsseln.
Das erfolgversprechendste Mittel für derartige Angriffe sind die sogenannten mobile E-Threats - Viren, Trojaner etc., die explizit für Attacken auf Smartphone & Co. konzipiert werden. Erstmals aufgetreten sind die mobilen Schädlinge im Jahr 2010, zunächst als einfache Variante von Desktop-Malware. Mit der Zeit wurden die Angriffe fokussierter: Hacker sammelten spezifische Nutzerdaten im Vorhinein, beispielsweise auch GPS-Koordinaten, E-Mail-Adressen und Passwörter. Das sogenannte mobile Spear-Phishing wurde zum Trend und ist es bis heute eine ständige Bedrohung geblieben.
Derzeit setzen Kriminelle vermehrt auf Botnet-Attacken: Malware, die ein Smartphone befällt, öffnet zugleich eine Hintertür und lädt weitere "Schädlingsfreunde" nach. Diese Methode ermöglicht es Angreifern, das mobile System in Echtzeit zu kompromittieren. Stimmt ein und dieselbe Cyber-Gang immer wieder gezielte Angriffe auf Smartphones ab, entsteht ein Botnet, das ganze Konzerne oder Organisationen bedrohen kann.
"Der Feind in meinem Jackett"
Jüngst entdeckte mobile Malware-Versionen gehen noch einen Schritt weiter und übernehmen gleich die komplette Kontrolle über das Android-Handy. Neben dem Abrufen wichtiger Informationen, der Einsicht in das Adressbuch oder dem Sammeln von Netzwerkinformationen haben Cyber-Gangster, die mit derartig raffinierten Trojanern angreifen, sogar die Möglichkeit, mit dem Gerät zu telefonieren, ohne dass der Besitzer dies merkt, und es nach Belieben ein- oder auszuschalten. Für die Hacker ist es eine effiziente Methode, diskret Einstellungen zu verändern und das kompromittierte Smartphone zu einem stillen Sklaven zu machen, der bei Bedarf das tut, was man von ihm verlangt.
Ein weiteres Risiko stellen Cloud-Applikationen dar. Hier ist es nahezu unmöglich zu überprüfen, welche Daten wofür "gestohlen" und verwendet wurden. Von Diebstahl kann bei frei zugänglich gemachten Informationen noch nicht einmal die Rede sein. Eine Kalender-App zum Beispiel mit Angaben von Geburtsdaten, Adressen, Telefonnummern und Ähnlichem kann ein wahres Informations-Schlaraffenland für Cyberkriminelle sein. Nicht zuletzt sind die mobilen Browser ein Problem. URLs werden hier aufgrund der Bildschirmgröße oft verkürzt dargestellt, weshalb potenziell verseuchte Links nicht schon in der Adresszeile erkannt werden können - etwa aufgrund ihrer kryptischen Länge.
Risiko Mobile-Banking und -Payment
Darüber hinaus zeichnet sich ein neuer Trend namens Mobile-Payment ab. In Asien bietet VISA mit der VISA payWave card die Möglichkeit an, kontaktlos direkt per Near Field Communication (NFC) durch Vorhalten der Karte bezahlen zu können. Hier kann auch das Handy quasi als Kreditkarte fungieren - und wieder reiben sich die Hacker bereits die Hände. Unzureichend geschützt ist es nach neuesten Tests ein Leichtes, RFID- (Radio-Frequency Identification) basierende Kreditkarten zu klonen bzw. zu skimmen, wenn sie nicht ausreichend verschlüsselt sind. Entsprechend manipulierbare RFID-Reader sind schon für wenige Euro zu haben.
So komfortabel Online-Banking beziehungsweise Mobile-Payment via Smartphone & Co. für User ist, so gefährlich ist es auch. Denn längst haben Cyberkriminelle den mobilen Bankschalter oder die Handy-Kreditkarte selbst als rentable Angriffsmethode identifiziert. "Phishing for Money" ist die Devise vieler Hacker. Anfang des Jahres wurden Kunden der kanadischen Scotiabank Opfer eines Phishing-Angriffs. Smartphone-Nutzer, die sich mobil via Internet auf der Website der Bank einloggen wollten, wurden auf eine gefälschte Seite gelenkt. Gaben die User hier ihre Login-Daten ein, lasen die Phisher deren Daten einfach mit und konnten sich im Anschluss ohne Probleme auf das Konto des jeweiligen Opfers Zugriff verschaffen.
In diesem Fall nutzten die Angreifer wie so häufig die fehlende "Liebe zum Detail" beim User aus. Denn meistens ist die kompromittierte Website zwar auf den ersten Blick gut gefälscht, bei näherem Hinsehen jedoch kann man Fehler entdecken, die auf der Originalseite nie vorkommen würden. Der Kunde selbst ist aber - gerade wenn er unterwegs ist und mobil auf sein Bankkonto zugreift - oft zu zerstreut oder in Eile, um auf diese Details zu achten. Hinzu kommt, dass ihn die geringe Größe des Smartphone-Displays an der nötigen Übersicht hindert.
Dabei können sich mobile Online-Banker relativ einfach vor dem Verlust sensibler Daten schützen. Bevor User "blind" auf einen Link klicken, sollten sie sicherstellen, dass er legitim ist. Ist die URL zum Beispiel teilweise verdeckt oder beinhaltet sie kryptische Zeichen, ist das schon verdächtig. Aber auch auf den ersten Blick vertrauenserweckende Links können gefährlich sein, da viele Smartphone-Phisher Web-Hosting-Unternehmen verwenden, um legitim erscheinende URLs zu streuen. Es ist zudem stets sicherer, die Ziel-URL manuell in den Browser einzugeben als via Lesezeichen oder E-Mail-Link auf die gewünschte Website zuzugreifen - insbesondere wenn die entsprechende E-Mail von einem unbekannten Absender stammt. Nicht zuletzt gilt es, darauf zu achten, das Betriebssystem seines Smartphones regelmäßig zu aktualisieren, um eventuelle Sicherheitslücken zu schließen.
Spezieller Schutz für Android-User
All diese Risiken können Smartphone-User verhindern; und zwar genau so wie es PC- und Laptop-Nutzer auch tun: mit einer Security-Software. Gute Sicherheitslösungen für Smartphones, dazu zählt etwa Bitdefender Mobile Security, unterstützen dabei eine Anti-Diebstahl-Funktion (Handy-Ortung, Remote Lock & Wipe), Sicherheits-Scans von SD-Card und internem Speicher (regelmäßig) sowie von neu geladenen Inhalten und Programmen. Außerdem halten sie den Smartphone-Besitzer stets über den aktuellen Bedrohungszustand seines Geräts auf dem Laufenden.
Fazit
Dass sich immer mehr Cyber-Gangster auf den neuen Hacker-Spielplatz Android konzentrieren ist aufgrund der stark wachsenden Nutzerzahl, den prosperierenden Markt für Apps und den damit aufkommende zahlreichen Sicherheitslücken nicht verwunderlich. Android-Geräte bergen noch einige Gefahren, vor denen sich Handybesitzer jedoch mit ein paar einfachen Hilfsmitteln schützen kann. Bislang profitieren die Cyberkriminellen lediglich von der Naivität der Nutzer, die ihr Gerät für eine sichere Bank halten. Gerade Unternehmen müssen ihre Sicherheitspolitik überdenken und sich bewusst werden, dass ihnen schmerzliche Datenverluste drohen, wenn sie die Geräte ihrer Mitarbeiter nicht entsprechend überprüfen bzw. absichern. (mb)