Heute in der Früh konnte ich nicht richtig schlafen und hab deshalb durch die Sender gezappt und bin bei Ratgeber Internet hängen geblieben. Dort ging es mal wieder um ein Lieblingsthema: Sicherheit von Smartphones, oder eher wie unsicher die doch seien.
Smartphones sind mobile Geräte und dadurch ergeben sich natürlich Gefahren, genau so wie bei einem Notebook.
Aber hier wird mal wieder unnötig Panik verbreitet und - was noch viel schlimmer ist - Tipps gegeben die Unsinn sind, aber wirklich wichtige Empfehlungen übergangen.
Auch Anti-Virenhersteller haben den mobilen Markt erkannt und wollen sich in diesen rein drängen. Das Angebot ist auch gewaltig. Deshalb werden von diesen immer wieder mal Horror-Meldungen ausgegeben. Das mag wohl auch der Grund sein, warum so häufig darüber berichtet wird.
Der Begriff Virenscanner ist aber bei Smartphones einfach nur Irreführend. Auf Smartphones wurde noch kein einziger Virus gefunden, nur Schadsoftware, bestenfalls Trojaner.
Ein Google-Mitarbeiter hat darüber mal kräftig Dampf abgelassen: https://plus.google.com/u/0/+cdibona/posts/ZqPvFwdDLPv (“IF you work for a company selling virus protection for android, rim or IOS you should be ashamed of yourself.”)
Aber auch in dieser Sendung wird von “Virenscannern” gesprochen, mehr noch, man müsse die sogar als Android-Nutzer installiert. Jetzt sind diese Scanner sehr umstritten. Sie erkennen vermutlich nur bekannte Viren (ein Desktop-Scanner fängt hier erst an) und fast jede Meldung ist ein Fehlalarm.
Was aber in dem Bericht nicht erwähnt wurde ist, dass Google bereits die Apps in ihrem Google Play nach Schadsoftware untersucht. Die Apps selbst werden nicht nur durchscannt, sie werden auch auf deren Servern ausgeführt und nach Auffälligkeiten untersucht. Google hat in letzter Zeit hier sehr viel investiert und hat sehr wahrscheinlich auch mehr Möglichkeiten als ein Anti-Virenhersteller. Die Empfehlung müsste als wenn schon sein, dass man “Virenscannern” all denen empfehlen kann, die ihre Apps außerhalb des Google Play beziehen (es hat schon einen Grund warum Fremdquellen per default gesperrt sind und es eine Meldung gibt, wenn man das aktiviert).
Aber jetzt wird es abenteuerlich. Am Ende wird behauptet, dass die Scanner den Arbeitsspeicher untersuchen. Das wäre schon ein großes Ding. Dazu muss man nämlich wissen, dass Apps in einer Sandbox laufen. Würde also eine App den Arbeitsspeicher auslesen können, dem es nicht zugewiesen ist, dann wäre das eine enorme Sicherheitslücke. Ich hab dann nochmal auf den Seiten mancher Hersteller dieser Scanner geschaut. Dort wird lediglich davon gesprochen, dass der Speicher (also die SD-Karte) untersucht wird.
Oder die Apps sollen darauf achten, dass Daten, die auf dem Gerät gespeichert werden verschlüsselt werden. Ich weiß nicht so recht was damit gemeint war… wird die Systemeinstellung gelesen, ob das Gerät verschlüsselt ist? Warum zeigen sie dann nicht einfach, wie man sein Android verschlüsselt? Die Daten selber verschlüsseln können solche Apps jedenfalls nicht.
Dann gab es noch einen weiteren Tipp: Man solle das WLAN ausschalten, da jemand ein bekanntes WLAN fälschen könnte.
Nun sprach der Sicherheitsexperte davon, dass ein Angreifer ein WLAN-Hotsspot nachahmen kann. Damit hat er auch recht und das ist auch tatsächlich eine reale Gefahr, nur muss der Smartphonenutzer sich aktiv verbinden. Im Bericht wird behauptet, das Smartphone würde sich automatisch mit dem gefälschtem Netz verbinden. Jetzt wird in diesem Bericht suggeriert, der Nutzer müsste nur WLAN abschalten und ist sicher. Die Gefahr ist aber doch dann vorhanden, wenn er sich in ein Netz einwählt. Beispielsweise ist in seinem DSL-Vertrag ein T-Online-Hotspot enthalten, der Nutzer sieht ein Netz mit der SSID, sieht im Browser eine gefälschte Seite zum einloggen ohne Verschlüsselung, wählt sich aber trotzdem ein.
Anstatt davor zu warnen wird ein unwahrscheinliche Angriffsmethode genannt (ein Smartphone meldet sich nicht wegen einer bekannten SSID einfach so automatisch an einem Netz an).
Danach gab es einen Schnitt und der Netzwerkexperte liest die Zugangsdaten eines E-Mailkontos aus. Der Zuschauer denkt hier, es wäre das imitierte WLAN-Netz. In Wirklichkeit werden sie wohl einfach nur beide in einem öffentlichem Netz sein. Hier wurde mal wieder kräftig manipuliert.
So einen grausamen Bericht sieht man selten. Anstatt wertvolle Tipps zu geben (Wann brauche ich wirklich einen Schadsoftware-Scanner, wann kann ich darauf verzichten; woher weiß ich, dass es ein vertrauenswürdiges Netz ist?; wie erkenne ich eine sichere Verbindung?; wenn schon Anbieter eine Anmeldung ohne Verschlüsselung zulassen (seriöse Anbieter wie Google erlauben das per default nicht nicht; welch Ironie, aber mehr dazu später), welche sind das und welche Anbieter arbeiten hier besser? wo informiere ich mich über VPN (will ich auf Nummer sicher gehen)?; auf welche Berechtigungen muss ich bei Apps achten?), werden solche absurde Tipps gegeben wie, man solle sein Netz ausgeschalten haben.
Aber Apropos Berechtigungen. Das wurde ja im Bericht kurz angesprochen, allerdings wieder mal nur um Panik zu machen. Im Bericht wurde die Suggestivfrage gestellt, wofür eine Taschenlampen-App GPS braucht und suggeriert, die App sei gefährlich. In Wirklichkeit will der Entwickler aber einfach nur ein paar Cent verdienen und hat in seiner App Werbung geschalten. Dafür wird auch die Internetverbindung gebraucht. Der erwähnte Telefonstatus wird im Übrigen dazu verwendet um bei alten Android-Versionen zu erkennen, wenn ein Anruf eingeht. Wäre ansonsten auch ein wenig blöd, wenn ein Anruf eingeht und die Taschenlampe weiter brennt. Die gezeigte App war mit Sicherheit keine “Schnüffel-App” Also anstatt hier mal eine gute Empfehlung zu geben, wurde mal wieder unnötig Angst geschürt.
Oder warum stellen sie Mutmaßungen als Tatsachen dar, anstatt einfach mal zu demonstrieren, dass die App auch wirklich schnüffelt (das würde mit einem Sniffer ganz einfach gehen).
Aber nochmal zu den ausgelesenen E-Mail-Zugang. Der Report meint, dass er zur Sicherheit nicht seinen echten Account verwendet. Vermutlich weil es mit diesem auch nicht funktioniert. Aber das unverschämte: Man sieht, wie der Reporter eine Google-Adresse eingibt. Ist doch komisch, denn Google erlaubt per default nur SSL-Verbindungen. Man müsste die Einstellung schon aktiv entfernen, will man sich ohne SSL einloggen. Wurde hier mal wieder was vorgetäuscht? :roll:
Und scheinheilig meint der Moderator noch: “Und ich merk davon gar nichts”.
Und zuletzt der Bericht:
http://www.daserste.de/information/ratg … s-100.html