Lesehinweis: „Smartphone – Der Feind in meiner Tasche?“

Die aktuelle Ausgabe der Rote Hilfe Zeitung (2/2017) beschäftigt sich im Schwerpunkt mit dem Thema „Smartphone – Der Feind in meiner Tasche?“. Während die drei Beiträge von capulcu leider ziemlich abstrakt und eher philosophisch sind, ist insbesondere der Beitrag der Ortsgruppe Frankfurt am Main zum Thema „Mythos Medienkompetenz“ sehr lesenswert.

Ihr könnt die Zeitung im Bahnhofsbuchhandel kaufen oder im Literaturvertrieb der Roten Hilfe bestellen. Mitglieder bekommen die Zeitung zugeschickt.

Sobald die nächste Ausgabe erscheint, wird die gesamte Ausgabe auch im Archiv zu finden sein.

Sicher unterwegs mit Android?

Android_robot_2014.svgBetriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen. „Sicher unterwegs mit Android?“ weiterlesen

ObscuraCam und CameraV

Macaca_nigra_self-portrait_largeDie Grundlagen zum Umgang mit Fotos und die Gefahren beim Anfertigen von Bildaufnahmen wurden bereits in einem Artikel zum Thema „Anonymisieren von Fotos“ vorgestellt. Dieser Betrag soll nun durch die Vorstellung der beiden APPs „ObscuraCam“ (Android) und „CameraV“ (Android) ergänzt werden. Beide Apps liefern verschiedene Funktionen zum Schutz der Privatsphäre bei Handyaufnahmen. „ObscuraCam und CameraV“ weiterlesen

Snopper Stopper

SnooperStopper„Snopper Stopper“ ist der Name einer neuen Android-APP, die zwei sehr sinnvolle Sicherheitsfeatures vereint. Erstens ist es mit „Snooper Stopper“ möglich, ähnlich wie mit „Wrong Pin Shutdown„, einen Neustart des Geräts zu erzwingen, wenn das Sperrbildschirm-Passwort zu oft falsch eingegeben wurde. Im Gegensatz zu „Wrong Pin Shutdown“ kann man bei „Snopper Stopper“ sogar festlegen, nach wie vielen falschen Eingaben das Gerät neugestartet wird. Zweitens kann man mit der APP, wie mit „Cryptfs Password“ (auf der dieser Teil der APP auch basiert), sein Sperrbildschirm-Passwort vom Passwort für die Geräteverschlüsselung trennen. Beide Komponenten zusammen genommen machen es möglich das Gerät mit einem einfacheren Passwort zu sperren und sich dennoch darauf verlassen zu können, dass Angreifer dieses Passwort nicht durch einen Bruteforce-Angriff herausfinden können, sondern sich, sehr sehr lange ;-), am stärkeren Gerätepasswort abmühen müssen.

Die APP erfordert Root-Zugriff auf das Gerät und ist sowohl im Playstore, als auch bei f-droid zu finden. Den Quellcode und Hintergrundinfos gibt es auf der Git-Hub-Seite des Entwicklers Michal Krenek (Mikos).

Wrong Pin Shutdown

ic_launcher-webWrong Pin Shutdown ist eine ideale Ergänzung für diejenigen, die bei ihrem vollverschlüsselten Android-Smartphone das Passwort für den Sperrbildschrim und das Gerätepasswort nachträglich von Hand oder mit der APP „Cryptfs Password“ getrennt haben. Die Trennung ist sinnvoll, weil sie die Wahl eines sicheren, d.h. langen und komplexen, Gerätepassworts zulässt, ohne dass man die Komfortabilität des schnellen Entsperrens mit einem einfacheren Passwort aufgeben muss. Im Ergebnis sorgt Wrong Pin Shutdown dafür, dass das Smartphone ausgeschaltet wird, sobald das Passwort für den Sperrbildschirm 10-mal falsch eingegeben wurde. Nachdem Shutdown muss zum Neustart, logischerweise, dann das Gerätepasswort eingegeben. Die APP erfordert eine gerootetes Gerät und kann über den alternativen Playstore „f-droid“ (Free and Open Source Software) installiert werden.

IMSI-Catcher & Abwehrmaßnahmen

Der Hunger des Staates nach Daten
remote-login-mast-493768_640Staatliche Stellen reagieren in letzter Zeit verstärkt auf die Möglichkeit sich günstig und ohne Angabe von (richtigen) Personendaten Mobiltelefone und SIM-Karten zu verschaffen. Denn in dieser Möglichkeit sehen die Ermittlungsbehörden die „Gefahr“, dass die Kommunikation eines „Verdächtigen“ nicht abgehört werden kann, weil ihm kein Telefon(-anschluss) zuzuordnen ist. So heißt es auch in der Begründung (Landtag des Saarlandes – Drucksache 15/773-NEU) zur offiziellen Einführung des IMSI-Catchers beim saarländischen Verfassungsschutz:

„Bei Planung und Begehung von schwerwiegenden Straftaten insbesondere im Terrorismusbereich, aber auch von Angehörigen gewaltbereiter extremistischer Gruppen und im Bereich der Organisierten Kriminalität werden zunehmend Mobiltelefone eingesetzt, deren Herkunft den Sicherheitsbehörden nicht bekannt ist. Erst wenn die Karten- bzw. Geräte-Nummer des betreffenden Mobilfunkgerätes bekannt ist, kann ein Beschluss zur Überwachung dieses Anschlusses erwirkt werden.“

„IMSI-Catcher & Abwehrmaßnahmen“ weiterlesen

Mobile Device Encryption

I-do-not-consent-stickerB
Nicht gerade hilfreich“ sein heißt Verschlüsseln!

Um sein unsicheres Smartphone wenigstens etwas sicherer zu machen, sollte man zunächst eine wirksamere Display-Sperre (Pin oder besser Passwort) einrichten. Dabei muss man abwägen zwischen der Bequemlichkeit, sein Gerät schnell entsperren zu können und der Sicherheit, die ein starkes Passwort bietet. Bei einer 4-stelligen PIN gibt es lediglich 10.000 (104) mögliche Kombinationen. Diese sind im Zweifelsfall mittels spezieller Soft- und Hardware schnell durchprobiert.

Zusätzlich dazu sollte man sein Mobiltelefon komplett verschlüsseln. Die Vollverschlüsselung verhindert, dass das Gerät, nachdem es ausgeschaltet ist, einfach ohne Eingabe eines sicheren Passwort wieder eingeschaltet werden kann. Außerdem sind die Daten während das Gerät ausgeschaltet ist wirksam geschützt. Die Vollverschlüsselung gibt es für Android (Anleitung) und iOS (Anleitung). Äußerst ungeschickt ist, dass die Passwörter für die Vollverschlüsselung des Geräts, sowohl bei Android, als auch bei iOS identisch mit dem Passwort für den Sperrbildschirm sind. Dadurch hat man lediglich die Wahl ein möglichst sicheres (langes) Passwort zu wählen und den Mehraufwand in Kauf zunehmen oder sich mit einem schlechteren Passwort zu arrangieren. Wer sein Android-Telefon gerootet hat, kann mit der App „Cryptfs Password“ die Passwörter nachträglich trennen.

Grundlagen: Mobilgeräte

Wenn es um Datenschutz und Datensicherheit geht, sind Smartphones oder andere Mobilgeräte mit äußerster Vorsicht zu betrachten. Dies hat viele Gründe, einige davon sind:

Screen_Handy_Kontakte
Viele Informationen über eine Person in seinem (Cloud-)Adressbuch abzulegen, mag praktisch sein. Der Angreifer, der sich Zugriff auf die Daten verschafft, wird es noch praktischer finden.
  • Die Diebstahlsgefahr: Ein Smartphone hat man in der Regel fast immer dabei. Das ermöglicht staatlichen Stellen oder Dritten einen leichteren Zugriff auf die Hardware.
  • Die Datenmenge: Während früher auf einem Mobiltelefon schlimmsten Falls (bei schlechter Daten-Hygiene) einige hundert SMS und eine lange Anrufliste zu finden waren, enthält ein Smartphone heute möglicherweise Zugangsdaten für Emailkonten oder andere Webdienste, zahlreiche App-Daten und vieles mehr.
  • Die Angriffsfläche: Ein modernes Smartphone hat zahlreiche Schnittstellen (z.B. Mobilfunk, Wlan, USB, GPS, Bluetooth und NFC). Jede dieser Schnittstellen kann potentiell für Angriffe genutzt werden.
  • Malware und Sicherheitslücken: Es gibt zahlreiche Sicherheitslücken und Schadprogramme für Smartphones, die diese Ausnutzen und es werden täglich mehr: Beispiel 1, Beispiel 2.
  • Die Darstellung:  Auf Grund der Bildschirmgröße und dem eingeschränkten Funktionsumfang lassen sich einige Informationen schlecht überprüfen. Es ist z.B. einfacher dem Nutzer eine falsche URL oder Email unter zu schieben.

Dieser Gefahren sollte man sich bewusst sein und versuchen möglichst wenige Daten in seinem Mobilgerät abzulegen (Stichwort: Datensparsamkeit und Datenvermeidung). Gerade sensible Daten sollte man seinem Smartphone besser nicht anvertrauen. Es ist beispielsweise nicht zu empfehlen seine Kontakte so zu gruppieren oder zu benennen, dass über die Kontaktdaten hinaus Rückschlüsse gezogen werden können.

Im Übrigen sollte man versuchen sein Smartphone mit verschiedenen Methoden wenigstens etwas sicherer zu machen. Einige davon werden hier nach und nach vorgestellt.

TextSecure/RedPhone und Signal

TextSecure_Blue_IconTextSecure/RedPhone bzw. Signal (entwickelt von Open Whisper Systems) ermöglicht verschlüsselte Kommunikation (Textnachrichten und Gespräche) für Android und iOS. Dafür wird standardmäßig eine Ende-zu-Ende-Verschlüsselung verwendet, die auf Axolotl und damit auf OTR basiert. Die verschlüsselten Nachrichten werden via WLAN oder über Datennetz (3G-LTE) versendet. Verschlüsselt wird nur der Inhalt der Nachrichten, so dass Verbindungsdaten (z.B. Wer schreibt mit wem) dennoch erhoben werden können. Die Software ist Open-Source und wird regelmäßig weiterentwickelt und gewartet.

Zur Zeit gibt es für Android und iOS unterschiedliche Apps, die zwar kompatibel zueinander sind, aber einen unterschiedlichen Funktionsumfang bieten. Während die Android-App zahlreiche weitere sinnvolle Einstellungsmöglichkeiten bietet (z.B. Schutz der App mit Passwort, Automatisches Löschen von Gesprächen ab einer bestimmten Länge), stehen diese Funktionen unter iOS noch nicht zur Verfügung. In der Zukunft soll eine App für beide Betriebssysteme zur Verfügung stehen.

Die Installation der jeweiligen App ist kinderleicht.

Edit vom 07.11.15: Zwischenzeitlich hat das Team von OpenWisperSystems das Ziel TextSecure und Redphone auch unter Android zu der App „Signal“ zusammenzuführen ereicht. Aus diesem Grund muss man auch unter Android in Zukunft nur eine App installieren.

Update vom 17.11.16: Ein Team von internationale IT-Sicherheitsexperten hat das Verschlüsselungsprotokoll von Signal untersucht und ist zu dem Ergebnis gekommen, dass das Kernkonzept als sicher zu bewerten ist. Das Ergebnis der Untersuchung findet ihr hier.