Sicherheit mobiler Geräte

Via Twitter habe ich von einer Sicherheitslücke im Blackbery erfahren, welche es dem Angreifer ermöglicht über eine SMS gewisse Dienste oder Daten auf einem Blackberry auszuspionieren. Unter anderem lässt sich das Mikrofon zur Belauschung aktivieren oder der GPS-Standort eines Geräts mitschneiden. Na ja so in eine Sitzung vom berühmten Blackberry User Mr. Obama reinhören wäre sicherlich nicht unspannend. Mehr zur Lücke gibts unter dem Stichwort TXSBBSpy

Nun gilt Blackberry ja gemeinhin als die sicherste Mobil-Plattform. Dieses Beispiel zeigt wieder einmal, dass jegliche Sicherheitsmechanismen nur so gut sind wie ihr schwächstes Glied. In diesem Fall der User. Der User hat auf dem Blackberry die Möglichkeit, jeder Applikation Zugriffsrechte auf seine Daten zu geben. Standardmässig wird das Blackberry bei Installation nach der Vertrauensstufe fragen. Leider ist der einzig wirklich komfortable Weg jeder Applikation zu vertrauen und somit vollen Zugriff zu gewähren. Vom Computer her ist man sich ja gewohnt, dass Viren und Trojaner nur auf zwielichtigen Webseiten im Zusammenhang mit dem RGB Code #F2C079 oder ählichem, verbreitet werden. Warum also der Facebook-Applikation fürs Blackberry nicht voll vertrauen? Nun ja, diverse Gründe:

• Man weiss nicht wer hinter der Applikation steht. Der entsprechende Schadcode könnte eingeschleust worden sein.
• Handelt es sich tatsächlich um die offizielle Applikation? Wo wurde sie heruntergeladen?
• Handelt es sich um die offizielle und unveränderte Applikation?

Facebook jetzt als Beispiel einer Anwendung die eigentlich keinen bösen Hintergedanken hat (ausgenommen die Blossstellung oder Profanisierung einer Person). Bei anderen Applikationen ist der Hintergedanken nicht mal so klar. Was als Applikation zur Stummschaltung des Kamera-Auslöse-Geräusches angepriesen wird, könnte durchaus einen anderen finanziellen Hintergrund haben.

Was gibt es für Lösungen? Die Möglichkeiten sind vielfältig und natürlich pro Mobilsystem unterschiedlich. Grundsätzlich gelten die gleichen Vorsichtsmassnahmen wie für einen PC im Internet. Vertraue nicht allen Quellen. Installiere Applikationen nur wenn du der Quelle vertraust, etc. Daneben gibt es die individuellen Möglichkeiten zu nutzen. Die Zugriffsrechte einer Applikation sollen im Fall Blackberry immer angepasst werden.

Was kann der Hersteller tun? Der Blackberry Hersteller Research in Motion liest natürlich äusserst ungern über Sicherheitslecks ihres Geräts. Meistens werden diese Meldungen auch nicht differenziert betrachtet. Kann denn der Hersteller wirklich etwas dafür? Apple hat mit dem iPhone und dem App-Store hier eine sehr gute Möglichkeit. Auf keinem anderen Weg können Applikationen auf ein nicht “gehacktes” iPhone aufgespielt werden. Applikationen die fürs iPhone angeboten werden sind durch einen intensiven Check bei Apple gelaufen. Natürlich schliesst dies Schadcode nicht aus, es minimiert das Risiko aber erheblich. Der viel beklagte Verlust von Wahlfreiheit hat also durchaus seine Vorteile.

Zur Rufwiederherstellung von Blackberry muss man sagen, dass der Blackberry Enterprise Server, welcher in Unternehmen verwendet wird, die Möglichkeit bietet Applikationen zentral zu verwalten und die Installation durch den User gänzlich zu unterbinden. Den Ruf der sichersten Plattform ist nicht ganz unverdient (ja andere Plattformen können dies natürlich auch )