Smartphone – Causa Finita

Januar 28, 2018Januar 29, 2018

Wie sicher sind Signal & Co angesichts des neuen BKA-Trojaners?

In den vergangenen Tagen berichteten mehrere Medien (u.a. die Süddeutsche Zeitung) darüber, dass das Bundeskriminalamt (BKA) über einen Trojaner verfügt, der in der Lage ist die Verschlüsselung von Krypto-Messengern zu umgehen. Die staatliche Malware, die laut BKA bereits in der Praxis zum Einsatz kommt, macht dazu beispielsweise Screenshots des Smartphone-Bildschirms und überträgt diese an die Ermittler. Die Kommunikation wird also abgegriffen bevor sie verschlüsselt wird. Dieses Vorgehen der Behörden ist keineswegs neu. Bereits in den vergangenen Jahren hat das BKA Trojaner für Laptops und Desktop-Rechner entwickeln lassen. Nun hat das BKA sein Waffenarsenal um einen Trojaner für Smartphones erweitert.

„Wie sicher sind Signal & Co angesichts des neuen BKA-Trojaners?“ weiterlesen

Mai 22, 2017Mai 23, 2017

Lesehinweis: „Smartphone – Der Feind in meiner Tasche?“

Die aktuelle Ausgabe der Rote Hilfe Zeitung (2/2017) beschäftigt sich im Schwerpunkt mit dem Thema „Smartphone – Der Feind in meiner Tasche?“. Während die drei Beiträge von capulcu leider ziemlich abstrakt und eher philosophisch sind, ist insbesondere der Beitrag der Ortsgruppe Frankfurt am Main zum Thema „Mythos Medienkompetenz“ sehr lesenswert.

Ihr könnt die Zeitung im Bahnhofsbuchhandel kaufen oder im Literaturvertrieb der Roten Hilfe bestellen. Mitglieder bekommen die Zeitung zugeschickt.

Sobald die nächste Ausgabe erscheint, wird die gesamte Ausgabe auch im Archiv zu finden sein.

Februar 8, 2016Januar 28, 2018

Sicher unterwegs mit Android?

Betriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen. „Sicher unterwegs mit Android?“ weiterlesen

Januar 14, 2016Januar 14, 2016

ObscuraCam und CameraV

Macaca_nigra_self-portrait_large Die Grundlagen zum Umgang mit Fotos und die Gefahren beim Anfertigen von Bildaufnahmen wurden bereits in einem Artikel zum Thema „Anonymisieren von Fotos“ vorgestellt. Dieser Betrag soll nun durch die Vorstellung der beiden APPs „ObscuraCam“ (Android) und „CameraV“ (Android) ergänzt werden. Beide Apps liefern verschiedene Funktionen zum Schutz der Privatsphäre bei Handyaufnahmen. „ObscuraCam und CameraV“ weiterlesen

Oktober 14, 2015

Snopper Stopper

„Snopper Stopper“ ist der Name einer neuen Android-APP, die zwei sehr sinnvolle Sicherheitsfeatures vereint. Erstens ist es mit „Snooper Stopper“ möglich, ähnlich wie mit „Wrong Pin Shutdown„, einen Neustart des Geräts zu erzwingen, wenn das Sperrbildschirm-Passwort zu oft falsch eingegeben wurde. Im Gegensatz zu „Wrong Pin Shutdown“ kann man bei „Snopper Stopper“ sogar festlegen, nach wie vielen falschen Eingaben das Gerät neugestartet wird. Zweitens kann man mit der APP, wie mit „Cryptfs Password“ (auf der dieser Teil der APP auch basiert), sein Sperrbildschirm-Passwort vom Passwort für die Geräteverschlüsselung trennen. Beide Komponenten zusammen genommen machen es möglich das Gerät mit einem einfacheren Passwort zu sperren und sich dennoch darauf verlassen zu können, dass Angreifer dieses Passwort nicht durch einen Bruteforce-Angriff herausfinden können, sondern sich, sehr sehr lange ;-), am stärkeren Gerätepasswort abmühen müssen.

Die APP erfordert Root-Zugriff auf das Gerät und ist sowohl im Playstore, als auch bei f-droid zu finden. Den Quellcode und Hintergrundinfos gibt es auf der Git-Hub-Seite des Entwicklers Michal Krenek (Mikos).

Mai 26, 2015Dezember 8, 2015

Vortrag: Handybeschlagnahme

Hier der Hinweis auf einen informativen Vortrag zum Thema „Handybeschlagnahme“ auf der Crpytocon 2015. Die Cryptocon ist eine Konferenz des Chaos Computer Clubs (CCC).

Mai 25, 2015Oktober 25, 2017

Wrong Pin Shutdown

Wrong Pin Shutdown ist eine ideale Ergänzung für diejenigen, die bei ihrem vollverschlüsselten Android-Smartphone das Passwort für den Sperrbildschrim und das Gerätepasswort nachträglich von Hand oder mit der APP „Cryptfs Password“ getrennt haben. Die Trennung ist sinnvoll, weil sie die Wahl eines sicheren, d.h. langen und komplexen, Gerätepassworts zulässt, ohne dass man die Komfortabilität des schnellen Entsperrens mit einem einfacheren Passwort aufgeben muss. Im Ergebnis sorgt Wrong Pin Shutdown dafür, dass das Smartphone ausgeschaltet wird, sobald das Passwort für den Sperrbildschirm 10-mal falsch eingegeben wurde. Nachdem Shutdown muss zum Neustart, logischerweise, dann das Gerätepasswort eingegeben. Die APP erfordert eine gerootetes Gerät und kann über den alternativen Playstore „f-droid“ (Free and Open Source Software) installiert werden.

Mai 23, 2015Dezember 17, 2016

IMSI-Catcher & Abwehrmaßnahmen

Der Hunger des Staates nach Daten
Staatliche Stellen reagieren in letzter Zeit verstärkt auf die Möglichkeit sich günstig und ohne Angabe von (richtigen) Personendaten Mobiltelefone und SIM-Karten zu verschaffen. Denn in dieser Möglichkeit sehen die Ermittlungsbehörden die „Gefahr“, dass die Kommunikation eines „Verdächtigen“ nicht abgehört werden kann, weil ihm kein Telefon(-anschluss) zuzuordnen ist. So heißt es auch in der Begründung (Landtag des Saarlandes – Drucksache 15/773-NEU) zur offiziellen Einführung des IMSI-Catchers beim saarländischen Verfassungsschutz:

„Bei Planung und Begehung von schwerwiegenden Straftaten insbesondere im Terrorismusbereich, aber auch von Angehörigen gewaltbereiter extremistischer Gruppen und im Bereich der Organisierten Kriminalität werden zunehmend Mobiltelefone eingesetzt, deren Herkunft den Sicherheitsbehörden nicht bekannt ist. Erst wenn die Karten- bzw. Geräte-Nummer des betreffenden Mobilfunkgerätes bekannt ist, kann ein Beschluss zur Überwachung dieses Anschlusses erwirkt werden.“

„IMSI-Catcher & Abwehrmaßnahmen“ weiterlesen

März 31, 2015April 11, 2015

Mobile Device Encryption

I-do-not-consent-stickerB — „Nicht gerade hilfreich“ sein heißt Verschlüsseln!

Um sein unsicheres Smartphone wenigstens etwas sicherer zu machen, sollte man zunächst eine wirksamere Display-Sperre (Pin oder besser Passwort) einrichten. Dabei muss man abwägen zwischen der Bequemlichkeit, sein Gerät schnell entsperren zu können und der Sicherheit, die ein starkes Passwort bietet. Bei einer 4-stelligen PIN gibt es lediglich 10.000 (10⁴) mögliche Kombinationen. Diese sind im Zweifelsfall mittels spezieller Soft- und Hardware schnell durchprobiert.

Zusätzlich dazu sollte man sein Mobiltelefon komplett verschlüsseln. Die Vollverschlüsselung verhindert, dass das Gerät, nachdem es ausgeschaltet ist, einfach ohne Eingabe eines sicheren Passwort wieder eingeschaltet werden kann. Außerdem sind die Daten während das Gerät ausgeschaltet ist wirksam geschützt. Die Vollverschlüsselung gibt es für Android (Anleitung) und iOS (Anleitung). Äußerst ungeschickt ist, dass die Passwörter für die Vollverschlüsselung des Geräts, sowohl bei Android, als auch bei iOS identisch mit dem Passwort für den Sperrbildschirm sind. Dadurch hat man lediglich die Wahl ein möglichst sicheres (langes) Passwort zu wählen und den Mehraufwand in Kauf zunehmen oder sich mit einem schlechteren Passwort zu arrangieren. Wer sein Android-Telefon gerootet hat, kann mit der App „Cryptfs Password“ die Passwörter nachträglich trennen.

März 31, 2015April 11, 2015

Grundlagen: Mobilgeräte

Wenn es um Datenschutz und Datensicherheit geht, sind Smartphones oder andere Mobilgeräte mit äußerster Vorsicht zu betrachten. Dies hat viele Gründe, einige davon sind:

Screen_Handy_Kontakte — Viele Informationen über eine Person in seinem (Cloud-)Adressbuch abzulegen, mag praktisch sein. Der Angreifer, der sich Zugriff auf die Daten verschafft, wird es noch praktischer finden.

Die Diebstahlsgefahr: Ein Smartphone hat man in der Regel fast immer dabei. Das ermöglicht staatlichen Stellen oder Dritten einen leichteren Zugriff auf die Hardware.
Die Datenmenge: Während früher auf einem Mobiltelefon schlimmsten Falls (bei schlechter Daten-Hygiene) einige hundert SMS und eine lange Anrufliste zu finden waren, enthält ein Smartphone heute möglicherweise Zugangsdaten für Emailkonten oder andere Webdienste, zahlreiche App-Daten und vieles mehr.
Die Angriffsfläche: Ein modernes Smartphone hat zahlreiche Schnittstellen (z.B. Mobilfunk, Wlan, USB, GPS, Bluetooth und NFC). Jede dieser Schnittstellen kann potentiell für Angriffe genutzt werden.
Malware und Sicherheitslücken: Es gibt zahlreiche Sicherheitslücken und Schadprogramme für Smartphones, die diese Ausnutzen und es werden täglich mehr: Beispiel 1, Beispiel 2.
Die Darstellung: Auf Grund der Bildschirmgröße und dem eingeschränkten Funktionsumfang lassen sich einige Informationen schlecht überprüfen. Es ist z.B. einfacher dem Nutzer eine falsche URL oder Email unter zu schieben.

Dieser Gefahren sollte man sich bewusst sein und versuchen möglichst wenige Daten in seinem Mobilgerät abzulegen (Stichwort: Datensparsamkeit und Datenvermeidung). Gerade sensible Daten sollte man seinem Smartphone besser nicht anvertrauen. Es ist beispielsweise nicht zu empfehlen seine Kontakte so zu gruppieren oder zu benennen, dass über die Kontaktdaten hinaus Rückschlüsse gezogen werden können.

Im Übrigen sollte man versuchen sein Smartphone mit verschiedenen Methoden wenigstens etwas sicherer zu machen. Einige davon werden hier nach und nach vorgestellt.