Symantec-Experiment

Auch ehrliche Finder schnüffeln in Smartphones

19.03.2012 von Andreas Schaffry
Ernüchterndes Ergebnis eines Versuchs mit 50 Smartphones: Fast alle Finder griffen auf Geschäftsdaten und Apps zu, viele auch auf das geschäftliche Mail-Konto.

Smartphones werden von Anwendern heute geschäftlich wie auch privat genutzt. Wird ein Smartphone gestohlen oder geht es verloren, können wichtige Unternehmensdaten und private Informationen wie Kontakte oder Kontodaten, die auf dem Gerät gespeichert sind, von Fremden eingesehen werden. Auch der Zugriff auf Daten, die in Geschäftsanwendungen lagern oder in einer Cloud, ist möglich, wenn das Smartphone direkt verbunden ist.

Das "Honey Stick Project"

Menschen sind von Natur aus neugierig. Wer ein verlorenes Smartphone findet, der schnüffelt auch in den Daten. Symantec hat die Probe auf das Exempel in einem Feldversuch mit präparierten Smartphones gemacht.
Foto: Symantec

Was passieren kann, wenn ein Smartphone-Besitzer sein Gerät tatsächlich verliert und andere Personen dieses finden, hat der US-Sicherheitsanbieter Symantec in einem "Honey Stick Project" genannten Feldversuch untersucht. Die Security-Firma stellte den Verlust von 50 Smartphones nach, die mit falschen Geschäfts- und persönlichen Daten präpariert und per Remote-Kontrolle überwacht wurden. "Honeystick" wurde der Versuch getauft, weil mit den an öffentlichen Orten platzierten Smartphones den Findern eine fast unwiderstehliche Verlockung angeboten wurde. Die Kernergebnisse des Experiments sind ernüchternd.

So können Smartphone-Besitzer nicht damit rechnen, dass ein Finder mit ihnen Kontakt aufnimmt. Auch ist es unwahrscheinlich, dass die auf dem Mobilgerät gespeicherten geschäftlichen und privaten Daten und Informationen unangetastet bleiben - egal ob der Finder es zurückgibt oder nicht. Insgesamt versuchten 96 Prozent der Personen, die ein "verlorenes" Smartphone gefunden hatten, auch darauf zuzugreifen.

Finder durchschnüffeln Business-Daten

Knapp 90 Prozent starteten dabei gleich die persönlichen Apps des Besitzers und sahen private Informationen ein. 83 Prozent der Finder griffen auf die als geschäftlich relevant gekennzeichneten Daten und Apps zu. 45 Prozent wollten auf den E-Mail-Geschäfts-Account zugreifen. Offen blieb, ob die Finder per E-Mail nur den Besitzer kontaktieren oder sich Zugang zu sensiblen Informationen verschaffen wollten.

Der Weg der präparierten Handys, die von Findern aufgelesen wurden, konnte über ein GPS-Tracking jederzeit nachverfolgt werden.
Foto: Symantec

53 Prozent versuchten, an hochsensible Personaldaten wie Gehaltsinformationen oder Personaleinsätze zu kommen. Dazu hatte man auf den Smartphones ein Spreadsheet unter dem Namen "HR Salaries" und eine als "HR Cases" benannte PDF-Datei installiert. 57 Prozent der Finder griffen zudem auf gespeicherte Passwörter zu, für die ebenfalls eine Datei hinterlegt war.

Keine App ist sicher

Bei über 60 Prozent der Geräte ließen sich Versuche nachweisen, um Zugriff auf private E-Mails oder Nutzer-Accounts bei sozialen Netzwerken zu erhalten. 43 Prozent der Smartphone-Finder schnüffelten außerdem in der Online-Banking-App des Besitzers herum.

Wer sein Smartphone verliert, hat nur eine 50-Prozent-Chance, dass der Finder mit dem Besitzer Kontakt aufnimmt und ihn über den Verlust informiert. In mehr als zwei Drittel dieser Fälle hatten die Finder vorher versucht, auf das Gerät zuzugreifen.

Symantec hatte mit der Durchführung des Experiments den IT-Sicherheitsexperten Scott Wright aus Ottawa (USA) beauftragt. Dieser "verlor" die 50 präparierten Smartphones in den fünf Großstädten New York City, Washington, Los Angeles, San Francisco (alle USA) und in Ottawa (Kanada).

Auf allen Geräten hatte Wright zwölf verschiedene Business-relevante und private mobile Applikationen installiert. Neben den bereits genannten befanden sich darunter auch Apps für Kalender und die Kontakt- und Fotoverwaltung. Über einen zusätzlichen GPS-basierten Tracking-Mechanismus konnte jedes einzelne Smartphone genau lokalisiert werden.