Ihr Smartphone wurde gehackt? Wie kamen die Cyberkriminellen nur auf das Smartphone? Wir haben mit einer Reihe von Sicherheitsexperten gesprochen, um einen Überblick über die gängigsten Hacker-Methoden zu bekommen.
1. Social Engineering
Der einfachste Weg für einen Hacker, in ein Gerät einzudringen, besteht darin, dass der Benutzer ihm selbst die Tür öffnet. Das ist das Ziel der meisten Formen von Social-Engineering-Angriffen. Smartphone-Betriebssysteme verfügen in der Regel über strengere Sicherheitsvorkehrungen als PCs oder Server. So wird etwa der Anwendungscode in einem Sandbox-Modus ausgeführt, um zu verhindern, dass der Code seine Berechtigungen ausweitet und das Gerät übernimmt. Bei diesem viel gepriesenen Sicherheitsmodell muss der Benutzer eines Mobiltelefons selbst aktiv werden, damit der Code auf geschützte Bereiche des Betriebssystems oder des Telefonspeichers zugreifen kann.
Der Nachteil dieses Security Feature: Es führt zu einer Fülle von Popups, die viele Anwender nach einer Weile völlig ignorieren. "Die Anfrage 'Möchten Sie dieser Anwendung den Zugriff auf Ihre Fotos erlauben?' kennt jeder", erklärt Catalino Vega III, Security Analyst bei Kuma LLC. Die meisten Anwender seien jedoch schon darauf konditioniert, einer Anwendung einfach den Zugriff auf alles zu erlauben - egal, was sie anfordert.
2. Malvertising
Ein besonders wichtiger Vektor für diese Art von betrügerischen Dialogfeldern sind so genannte "Malvertisements", die sich auf die für das Ökosystem der mobilen Werbung entwickelte Infrastruktur stützen, sei es in einem Browser oder innerhalb einer App.
"Das Ziel von Malvertising ist es, Sie dazu zu bringen, auf die Werbung zu klicken", erläutert Chuck Everette, Director of Cybersecurity Advocacy bei Deep Instinct. Als Beispiel nennt er ein Spiel namens Durak, das Nutzer dazu verleitet, die Sicherheitsfunktionen ihre Android-Smartphones zu deaktivieren, damit das Spiel andere bösartige Anwendungen installieren kann. Dabei handelte es sich bei Durak keineswegs um eine fragwürdige, via Sideloading heruntergeladene App, sondern diese war auf dem offiziellen Marktplatz Google Play erhältlich. "67 Prozent aller bösartigen Apps stammen aus dem Google Play Store, nur 10 Prozent werden von alternativen App Stores heruntergeladen", schildert Everette. "Die Verbraucher verlassen sich bei Google Play stark auf die Bewertungen anderer Nutzer, ob eine App sicher ist oder nicht. Das funktioniert nicht."
Im Gegensatz dazu prüfe Apple jede App in seinem App Store genau, so der Deep-Instinct-Manager. Dies verringere die Zahl der verfügbaren Apps - aber auch die Zahl der Apps, die als bösartig gemeldet werden.
3. Smishing
Ein weiterer Angriffsvektor auf mobile Endgeräte ist die SMS. Per Mobilfunk versandte Kurzmitteilungen werden für eine ganze Reihe von Social-Engineering-Tricks genutzt. Die als SMS-Phishing oder Smishing bekannte Praxis trifft dabei Leichtgläubige und Hochbegabte gleichermaßen.
"Es gibt mehrere Möglichkeiten, wie Cyberkriminelle SMS-Phishing einsetzen können, je nach Absicht und Ziel", führt Rasmus Holst, Chief Revenue Officer von Wire, aus. "Wenn das Ziel darin besteht, Malware auf einem Gerät zu installieren, wird in der Regel eine Datei angehängt, zusammen mit einer Nachricht, die den Benutzer zum Klicken und Herunterladen verleiten soll."
Cyberkriminelle könnten sich beispielsweise als eine vertrauenswürdige Person ausgeben, etwa als Chef oder Abteilungsleiter, der seine Mitarbeiter auffordert, das angehängte Dokument zu prüfen, so Holst. Vor zwei Jahren habe man das Smartphone von Jeff Bezos gehackt, nachdem er eine einzige Videodatei von einem vertrauenswürdigen Kontakt heruntergeladen hatte. In einigen Fällen nutzten Hacker auch Zero-Day-Exploits von mobilen Browsern und laden eine bösartige Datei ohne Zustimmung des Benutzers auf das Smartphone, sobald dieser auf den Link klickt.
4. Schadsoftware
Ein anderer Ansatzpunkt sind gejailbreakte Handy, bei denen der Nutzer die Sicherheitsbarrieren bereits selbst außer Kraft gesetzt hat. Rooten oder Jailbreaking wird von vielen als Möglichkeit angesehen, das Gerät besser an die eigenen Bedürfnisse anzupassen und Apps aus inoffiziellen Quellen zu installieren. Gleichzeitig werden damit aber auch diverse Sicherheitsmechanismen des Mobile-Betriebssystems deaktiviert. Das ermöglicht Hackern einen einfachen Zugang zu Passwörtern, Chats oder anderen Eingabedaten, etwa Bank- oder Zahlungsinformationen.
"Um ahnungslose Nutzer dazu zu bringen, Malware auf ihr Smartphone zu installieren, erstellen manche Hacker für sie interessante Anwendungen, etwa ein kostenloses VPN", berichtet David Schoenberger, Gründer und Chief Innovation Officer beim Security-Spezialisten Eclypses. "Diese bösartigen Anwendungen prüfen nach dem Download, ob das Device gerootet oder gejailbreakt wurde - falls ja, stehlen sie persönliche Informationen und andere sensible Daten."
5. Pretexting
Gibt der Nutzer die Kontrolle über sein Gerät nicht freiwillig ab, hat der Angreifer immer noch die Möglichkeit, über dessen Kopf hinweg an Informationen zu kommen. Bei diesem Verfahren, das auch als Pretexting bezeichnet wird, sammelt ein Angreifer genügend persönliche Informationen über sein Opfer, um sich gegenüber dem Mobilfunkanbieter als dieser Nutzer auszugeben. "Bei erfolgreicher Verifizierung bringt der Angreifer den Mobilfunkanbieter dazu, die Mobilfunknummer des Opfers auf ein eigenes Gerät zu übertragen, besser bekannt als SIM-Swapping", erklärt Adam Kohnke, Information Security Manager beim Infosec Institute. "Anrufe, Textnachrichten und Zugangscodes - etwa die Codes für die Zweitfaktor-Authentifizierung, die Ihre Bank oder Ihr Finanzdienstleister per SMS an Ihr Telefon sendet - gehen nun an den Angreifer und nicht mehr an Sie."
6. Eindringen über die Bluetooth-Schnittstelle
Es gibt zwei drahtlose Angriffsvektoren, mit denen Hacker auf Smartphone-Inhalte zugreifen können, ohne jemanden zur Preisgabe von Berechtigungen zu verleiten. Beide erfordern eine physische Nähe zum Opfer, können aber manchmal aber auch in aller Öffentlichkeit durchgeführt werden. "Die Bluetooth-Verbindung ist eine der Schwachstellen eines Smartphones, und Hacker verwenden oft spezielle Methoden, um eine Verbindung zu Geräten herzustellen, die mit Bluetooth arbeiten, um sie zu hacken", sagt Aleksandr Maklakov, Technik- und Sicherheitsexperte sowie CIO bei MacKeeper. "Dies ist eine gängige Hacking-Methode, da viele Menschen ihre Bluetooth-Verbindung eingeschaltet lassen. Ist eine Bluetooth-Verbindung offen, besteht die Gefahr, dass Hacker in der Nähe Ihres Smartphones sich unbemerkt einhacken."
7. Man-in-the-middle Wi-Fi-Angriffe
Ein weiterer potenzieller drahtloser Angriffsvektor ist ein Man-in-the-Middle-Angriff via WLAN. "Viele Menschen neigen dazu, ihre Smartphones bei jeder sich bietenden Gelegenheit mit einem frei zugänglichen öffentlichen WLAN zu verbinden", warnt Peter Baltazar, Cybersecurity-Experte und technischer Autor bei MalwareFox.com. "Diese Angewohnheit kann zu großen Problemen führen, da clevere Hacker die Kommunikation abfangen und so das Smartphone infiltrieren können." Hacker seien so in der Lage, eine Fülle von Informationen zu erhalten, ohne die Kontrolle über das Smartphone des Benutzers erlangen zu müssen, so Baltazar. Zwar sind solche MiM-Attacken mit dem Verschlüsselungsprotokoll TLS 1.3. deutlich schwieriger geworden, aber dieses Protokoll wird nicht überall eingesetzt.
Gehackt, und dann?
"Ist ein Angreifer erfolgreich in ein mobiles Endgerät eingedrungen, hat er Zugriff auf eine überraschend große Menge an sensiblen Daten, berichtet Caitlin Johanson, Leiterin des Application Security Center of Excellence bei Coalfire. Von installierten Anwendungen erstellte Datenspeicher wie SQLite könnten so ziemlich alles enthalten, von Web Requests und Responses bis hin zu potenziell sensiblen Informationen und Cookies.
Zu den häufigen Schwachstellen, die sowohl bei iOS als auch bei Android beobachtet wurden, gehören laut Johanson die Zwischenspeicherung von Anwendungsdaten im Speicher (z. B. Authentifizierungsdaten) sowie Miniaturansichten oder Schnappschüsse der laufenden Anwendung, die versehentlich sensible Informationen auf dem Gerät speichern könnten. Auch in Browser-Cookies, Absturzberichten, Einstellungsdateien und Web-Cache-Inhalten fänden sich zuhauf sensible Informationen, die meist unverschlüsselt bleiben und in leicht lesbaren Formaten direkt auf dem Gerät gespeichert werden.
"Gerade die Tools, die für Entwicklungszwecke entwickelt wurden, machen es einem Angreifer leicht, diese Art von Daten zu extrahieren, mit ihnen zu interagieren oder sie sogar zu verändern. Typische Beispiele sind etwa abd für Android oder iExplorer oder plutil für iOS", so die Security-Spezialistin weiter.
With a little help …
Natürlich ist es nicht so leicht, wie es klingt. Die meisten Benutzer machen kein Jailbreak, klicken nicht auf Smishing-Links und gewähren fragwürdigen Anwendungen keine erweiterten Berechtigungen. Und selbst wenn es Hackern gelingt, in ein Gerät einzudringen, werden sie oft durch die in iOS und Android eingebauten Sicherheitsmaßnahmen in die Schranken gewiesen.
Deshalb spielt zudem die kriminelle Energie, die ein Hacker aufwendet, eine große Rolle. "Angreifer entwickeln hochgradig wiederholbare und automatisierte Modelle, die jeden Winkel einer mobilen App oder einer neuen Betriebssystemversion ausloten, in der Hoffnung, eine Schwachstelle zu finden", weiß Hank Schless, Senior Manager Security Solutions bei Lookout. "Sobald sie eine ausnutzbare Schwachstelle gefunden haben, versuchen sie, diese so schnell wie möglich zu ihrem Vorteil zu nutzen, bevor ein Fix veröffentlicht wird."
Und wenn man es selbst nicht herausfinden kann, findet sich vielleicht ein Freund, der helfen kann. "Der Informationsaustausch unter Cyberkriminellen findet meist entweder im Dark Web oder in Gruppen auf verschlüsselten Chat-Plattformen wie Telegram statt", so Schless. "Größere Gruppen, z. B. solche, die von Nationalstaaten unterstützt werden, werden ermutigt, Code und Exploits untereinander auszutauschen, in der Hoffnung, dass gemeinsame Anstrengungen zu erfolgreicheren bösartigen Kampagnen führen. Umso wichtiger ist es, dass auch die Guten Informationen austauschen, denn sie haben eindeutig viel Arbeit vor sich." (mb)
Dieser Artikel basiert auf einen Beitrag der US-Schwesterpublikation CSO Online.