Würmer beim iPhone: wie sicher ist Android?
Es war an sich nur eine Frage der Zeit, bis die ersten Schädlinge auch Telefone erreichen würden. In der vergangenen Woche hörte man aus den Niederlanden, dass es jemand gelungen sei, ein iPhone zu hacken. Es stellt sich die Frage: wie sicher ist eigentlich Android?
Nun bin ich leider kein echter Experte auf diesem Gebiet. Aber ich möchte dennoch versuchen meine Gedanken dazu niederzuschreiben.
Es hat mich eh schon immer gewundert, dass es kaum richtige Schädlinge für Mobiltelefone gab. Man könnte jetzt sicherlich behaupten, dass Microsoft eventuell Schuld an der Misere sein könnte, da ihr Betriebssystem Windows eventuell nicht gut genug gegen Viren und ähnliches geschützt sein könnte. Aber trotzdem - es gibt weitaus mehr Mobiltelefone als PCs. Warum hat dieser Fakt noch nicht sehr viel mehr Hacker auf den Plan gerufen?
Es scheint so zu sein, dass dies nun der Fall ist. Denn heute berichtet engadget, dass es einem Hacker namens ikex gelungen sei gejailbreakten iPhones einen Wurm zu verpassen. Der "Ikee"-Wurm missbraucht dabei eine Sicherheitslücke bei gejailbreakten iPhones mit SSH. Scheinbar haben alle Telefone mit dieser Gegebenheit dasselbe Passwort, nämlich "alpine". Sobald der Wurm es geschafft hat in das System einzudringen, ändert er das Wallpaper in ein Bild von Rick Astley, und versucht dabei gleichzeitig in andere jailbroken iPhones innerhalb des Netzwerkes einzudringen.
Ganz ehrlich: das wird uns bei Android auch bevorstehen! Man hat sehr viel gelesen, dass Android sehr sicher gebaut ist. Die Frage ist aber doch wie sich ein System sein kann, wenn
- der Sourcecode völlig offen liegt und man so eventuelle Schwächen erforschen kann
- Applikationen zum Download angeboten werden, ohne dass diese wirklich geprüft werden
- Android-Versionen auf dem Markt sind, die nicht mehr wirklich von Google geprüft beziehungsweise abgesegnet sind
Es geht hier nicht darum den Teufel an die Wand zu malen. Vielmehr sollte man sich verstärkt darauf einstellen, dass Hacker versuchen werden zukünftig Telefone anzugreifen. Denn ich glaube persönlich, dass wir bei den Telefonen sehr viel verwundbar sein werden, als bei PCs oder Computern.
Warum ist das so?
Vor einigen Jahren noch waren Daten exklusiv auf Computern gespeichert. Telefone hatte mit diesen Daten quasi nichts zu tun. Das ist heute anders. Wir sind quasi immer online, können zu jeder Zeit auf unsere Daten zugreifen, völlig egal ob es sich dabei um E-Mails, Textdateien, Bilder oder Videos handelt. Wir tragen unseren Computer immer mit uns...
Außerdem gibt es sehr viel mehr Telefone als Computer auf der Welt. Und dieser Trend wird sich fortsetzen! Was sich auch fortsetzen wird, ist der Trend, dass Mobiltelefone immer mehr zu tragbaren Computern werden, die eben alle wichtigen Daten von uns auf sich vereinen.
Das wird ganz bestimmt Leute anziehen, die sich selbst ein Denkmal setzen wollen. Hacker, die sich und anderen beweisen möchten, dass sie in der Lage sind globalen Schaden durch ihr tun und Handeln anzurichten.
Was also tun? Ich weiß es nicht! Ich bin wie gesagt auch kein Experte darin. Aber wir sollten gewarnt sein. Denn ich behaupte, dass es nur eine Frage der Zeit ist, bis auch Android Opfer der ersten erfolgreichen Attacken wird.
Quelle: engadget
-
Admin
-
Staff
09.11.2009 Link zum Kommentar@gado_g Ich habe Deine Kritik als konstruktiv verstanden. Also - keine Angst! Ich freue mich immer über eine ebensolche.
Zu den "Tippfehlern": ich nutze oft eine Diktiersoftware. Die macht fast immer alles richtig. Manchmal aber auch nicht! Und scheinbar liest man hier und da darüber... Wobei ich sie auch diesmal beim Lesen nicht gefunden habe.
Ich werde mir Deine Punkte zu Herzen nehmen und versuchen beim nächsten Mal weniger "reisserisch" zu schreiben.
Viele Grüße,
Fabien
<zyn>Ich finde, es wird es Zeit, dass jemand android 1.5 hackt. Dann fühlt sich Samsung vielleicht mal berufen, endlich mal ein update zu liefern... :-)</zyn>
Die wenigsten lassen 0900er sperren. Meistens kostet das auch noch was.
Bei Debitel o2 sind das 5,95€.
hehe nöp natürlich im normalfall nicht, aber bei mir sind 0900 nummern von haus aus gesperrt ;) also ich muss keine angst haben ;)
und generell hab ich keine angst vor fremden apps :) dann müsste ich mein windows ja komplett vom netz trennen, wenn ich angst vor sowas hätte.
Guckst du 3 Uhr Nachts in der Woche auf dein Handy?
ah ok, wenn mir eine so eine nummer gehört. gar keine schlechte idee ;)
naja mir persönlich wurscht, 0900 nummer sind bei mir alle gesperrt ;)
aber verstehe schon, naja im hintergrund kann man ja nicht anrufen oder? sieht man ja immer am display und schon hagelt es schlechte ratings im markt und niemand ladet die app mehr.
-
Mod
09.11.2009 Link zum Kommentar@Markus
Die ganzen Nummern wie 0900, 0190 usw. sind doch meist sehr teure Nummer, bei denen der Angerufene bzw. Inhaber der Nummer mitverdient. Wird dann irgendwie zwischen Provider und eben Inhaber abgerechnet.
Das würde sich dann schon lohnen, wenn Millionen von Smartphones anrufen würden. Wenn das BKA nicht schneller ist ;-)
@Markus, wenn mir die 0900er gehört, dann habe ich da einiges von. Muss mir erstmal bewiesen werden, dass ich den Schadcode geschrieben habe.
"finde deine reaktion darauf nicht ganz angebracht "
Es geht nicht nur um den Titel, auch um den nicht ganz schlüssigen Inhalt. Er hinterfragt, ob Android sicher sein kann, wenn es Open Source ist. Da fehlt irgendwie eine Begründung. Hier werden Sachen in den Raum geworfen, aber nicht drauf eingegangen. Es wird einfach gesagt, dass Open Source eine Unsicherheit ist. Ist das korrekt? Nein.
Wenn Google die Apps kontrolliert, sind die dann sicher? Nein, erzeugen sogar eine scheinheilige Sicherheit.
Man hätte es von beiden Seiten beleuchten müssen, damit es relativ neutral ist. Auch wenn es ein Blogeintrag ist, indem man subjektiv sein kann. Aber man könnte neutrale Fakten bringen, dann seine Meinung dazu niederschreiben. Hier wird alles miteinander vermischt.
Zum Ende hin ist nicht mehr die Frage gestellt, ob Android sicher ist, es wird gesagt, dass Hacker es bald auf Handys absehen werden. Dann heißt es im Schlusssatz aber wieder, dass Android bald dran ist. Wieso Android und nicht wie zuvor erklärt jedes Handy, welches die bekannten BSe drauf hat? Die Begründung, warum nur Android unsicher ist, war sehr lückenhaft (z.B weil es OpenSource ist).
Soll eine konstruktive Kritik sein. Kann natürlich auch völlig ignoriert werden. Das sind nur so Gedanken, die ich mir nach dem Lesen gemacht habe. Das mit dem Titel ist störend, weil im Endeffekt gesagt wird, dass Hacker es bald mehr auf Smartphones absehen werden, aber immer Android genannt wird (außer im Mittelteil), obwohl es ein Problem von allen Smartphones ist.
"Würmer beim iPhone: wie sicher sind unsere Smartphones?"
So hätte ich es mir gewünscht. Was dem Inhalt auch näher kommt.
"Denn ich glaube persönlich, dass wir bei den Telefonen sehr viel verwundbar sein werden, als bei PCs oder Computern."
Die Begründung darauf würde Sinn machen, wenn man auf dem Handy mehr an wichtigen Daten speichert als auf den PC.
Dann die ganzen Tippfehler (keine Rechtschreibfehler) lassen mich irgendwie erahnen, dass dieser Eintrag auf die schnelle getippt wurde (wenn man ihn nochmal gelesen hätte, dann wären einem bestimmte Fehler ins Auge gesprungen). Kann der Blogger gerne machen, aber jeder will auch eine bestimmte Qualität bieten. Ich will hier keinem an den Karren fahren, wenn mir der Blog egal wäre, dann hätte ich dazu nichts gesagt. Mir ist Fabien sogar sympathisch, wieso sollte ich also?
tja das ist aber bei windows programmen noch schlimmer. ist jetzt ansich nichts neues.
die frage ist nur, was hat jemand davon, wenn seine app eine 0900 nummer anruft ? genau gar nichts.
Was ich für ein großes Problem halte, ist die Datensicherheit...
Wow, diese neue App im Market muss ja klasse sein, endlich kann ich die Badewanne schon von unterwegs voll laufen lassen... und sie ist auch noch kostenlos. Hammer! Jetzt installier ich die mir erstmal... mhh.. Warum braucht die soviele Rechte... Naja.... wird schon wissen warum... lalala......lalalalalala.... och ne, der muss erst sich die Informationen aus dem Netz über meine tolle Badewanne runterladen... wie lang das dauert.... (und in dieser Zeit werden alle Kontakte, Telefonnummern und Email-Adressen irgendwo hochgeladen)
ach, jetzt ist es fertig? ech ne, meine Badewanne wird nicht unterstützt :( alle umsonst...
und schon liegen alle Daten irgendwo...
naja kommt drauf was der schadcode dann macht wenn ich ein gemeiner mensch wäre und sowas programmieren täte =)
würde das ding nach der systemuhr um 2:00 nachts einfach eine von mir betriebene 0900 nummer anrufen und nach 3 stunden wieder auflegen fertig
dann geht das ding in die kontakte und verschickt sich selbst an alle einträge
ich hab natürlich keine idee inwiefern das technisch machbar ist aber sowas kann schaden anrichten
-
Mod
09.11.2009 Link zum KommentarNeue Meldung zu der Geschichte auf Heise:
http://www.heise.de/newsticker/meldung/Erster-iPhone-Wurm-unterwegs-853372.html
Wobei man bei all der Diskussion auch mal überlegen müsste, was mit einem Virus auf einem Smartphone alles passieren könnte. Ausser Schaden anzurichten, vielleicht nicht viel. Ist ja nicht wie bei PCs bei denen man grossartig Zugangsdaten usw. abgreifen, oder den PC für Attacken missbrauchen könnte.
panikmache wäre eine überschrift wie: würmer bei android - sie sind im anmarsch
aber nicht "wie sicher ist android?"
das ist eine frage und sollte zur allgemeinen diskussion anregen und sicher keine angst machen.
finde deine reaktion darauf nicht ganz angebracht
"Ich weiss, an dieser Stelle kommt dann oft: "Selber schuld, dann müssen die sich eben informieren!". So einfach ist das aber nicht!"
Wenn man keine Ahnung hat, dann hat man sich auch kein Custom ROM aufzuspielen. Wenn man bei der originalen ROM bleibt, dann ist man auch soweit sicher. Was die Apps abfragen ist ja aufgelistet.
Das gleiche ist mit einem Jailbreak, wenn man keine Ahnung hat oder keine Lust hat sich einzulesen, dann macht man es einfach nicht.
Wenn jemand an einem Autogurt rumfummelt (will blinkende Lichter installieren, was auch immer) und dadurch die Sicherheit gefährdet wird, da der Gurt nicht mehr funktioniert, weil er einfach zu faul war sich in die Anleitung einzulesen, dann kann man sehr wohl sagen, dass er selber schuld ist. Das ausgelieferte Produkt war sicher, erst nach dem Pfusch war es unsicher.
Dass Sicherheitslücken im Grundprodukt auftreten ist normal, wenn sie schnell geschlossen werden, ist das ok. Sicherheitslücken gab es schon immer und wird es auch immer geben. Da sehe ich die Panikmache. Es war schon immer so und wird auch immer so sein.
Im Endeffekt klingt das nach "Autounfall, wann wird es sie treffen?" -- Autounfälle werden in Zukunft zunehmen.
Für mich ist so eine Frage im Titel Panikmache, sieht vielleicht jeder anders. Auch meine Meinung ist nur subjektiv.
-
Admin
-
Staff
09.11.2009 Link zum Kommentar@gado_g: ich weiss nicht wo Du Panikmache im Artikel entdecken kannst?! Ich habe lediglich Fragen gestellt und diese selber gar nicht beantwortet. Das war kein investigativer Artikel, sondern ein Blogeintrag mit einer eigenen, subjektiven Meinung. Nicht mehr, nicht weniger!
Wenn Du sagst, dass man bei Microsoft der User selber Schuld ist, wenn er sich Viren einfängt, kann ich Dir natürlich nur Recht geben. Aber darum ging es hier doch gar nicht! Es ist ja nicht die Schuldfrage zu klären, sondern ob es bei Android eventuell auch solche Gefahren geben wird. Denn meine These ist, dass Android ein OS sein wird, dass sehr viele Menschen verwenden werden - auch solche, die gar keine Ahnung haben.
Ich weiss, an dieser Stelle kommt dann oft: "Selber schuld, dann müssen die sich eben informieren!". So einfach ist das aber nicht!
Übrigens: ja, es stimmt, noch gibt es deutlich weniger Smartphones als Telefone mit "normalen" BS. Die Frage ist aber, wie lange noch? Es ging mir hier bestimmt nicht darum die ganz kurzfristigen Gefahren zu beleuchten. Mir geht es darum mittel- bis langfristig die Trends herauszufinden. Und hier war und bin ich der Meinung, dass durchaus Gefahren lauern.
@Gado q: Soweit ich informiert bin wurde das iPhone bereits 25 Millionen mal verkauft. Das ist doch schon eine recht interessante Plattform für potenzielle Hacker möchte ich meinen. Du sagst selbst, dass es schon Symbian Viren gibt, obwohl das System eigentlich doch so unteressant sein müsste.
Android ist auf dem Vormarsch und wird deutlich verbreiteter werden, wodurch auch das Interesse von Hackern mit Sicherheit geweckt werden wird.
Vorsicht vor Hacks ist meiner Ansicht nach bei absolut jeder Handlung geboten, bei der man Verbindung zum Internet oder zu unbekannten Daten herstellt, was dem durchschnittlichen Handy-Benutzer unter Umständen vielleicht nicht so ganz klar ist. Daher finde ich den Artikel durchaus angebracht.
Der Beitrag war nichts. Hat Bildniveau, da hier Panikmache betrieben wird, die falsch am Platz ist.
Es werden auch Fakten verdreht. Ein Beispiel. Es gibt zwar mehr Handys als PCs, aber viel weniger Smartphones mit einem bestimmten BS als Windows auf PCs. Was die Frage damit eigentlich schon beantwortet.
Handys haben normalerweise ein eigenes BS und da lohnt es sich einfach nicht nach Sicherheitslücken zu suchen. Wer macht sich die Arbeit für ein paar Handys? Smartphones lohnen sich schon eher, da es nur eine bestimmte Anzahl an Lager gibt. Symbian ist weit verbreitet kommt aber noch lange nicht an die Anzahl von PCs mit Windows (Windows, weil es der Spitzenreiter ist) ran. Trotzdem gibt es da auch schon eine Hand voll Viren. Da sieht man sehr schön, dass auch bei kontrollierten Apps Fehler unterlaufen, denn bei Symbian wurde ein Virus signiert, der eigentlich hätte durchfallen müssen. Somit konnte man den Virus verbreiten, obwohl nichts am Symbian BS getan wurde, da es von der Kontroller als ungefährlich eingestuft wurde. Also Google als Kontroleur (den können auch Fehler unterlaufen) ist damit auch unsicher, kein Wunder, dass die sich sowas nicht ans Bein binden.
Das mit dem Iphone ist einfach schlampig gemacht worden. Passwörter hätte man dynamisch machen können, sodass jeder ein anderes bekommt. Zumindest hätte man den Zugang auf lokalen Zugang beschränken müssen. Das ist halt immer die Sache, wenn Hobby Programmierer Hand anlegen. Immer der schnellste sein, aber auf Sicherheit kein Wert legen.
Mit Root bei Android passiert auch nichts, nur beim Custom ROM sind SSH Server automatisch drin. Weiß aber nicht, ob es da ein Standard Passwort gibt, soweit ich weiß, muss man sein Passwort in der "About" Seite abfragen. Das weiß ich nicht so genau. Kann vielleicht jemand anderes sagen.
Lange Rede kurzer sind. Selten ist das BS schuld, meistens ist es der Benutzer oder Leute die am Grundsystem rumpfuschen.
"Man könnte jetzt sicherlich behaupten, dass Microsoft eventuell Schuld an der Misere sein könnte, da ihr Betriebssystem Windows eventuell nicht gut genug gegen Viren und ähnliches geschützt sein könnte."
Wäre schön gewesen, wenn du die Behauptung nicht einfach so stehen lässt, denn Windows ist sicher gegenüber Viren, wenn man sein Gehirn benutzt. Selten ist es eine Sicherheitslücke die Schuld ist. In den meisten Fällen führt der User den Virus selbst aus und gibt ihm auch gleich Adminrechte. Das geht unter Linux genauso wie unter MAC und anderen BSen.
nein ich hab oft werbung drin, das hat aber nichts mit den kontakten zu tun. sie wollen gps haben und internet. aber das is klar.
naja denke auch, die gefahr ist gering, bei originalen roms. dort gibt es wenig sicherheitslücken und wenn, dann werden sie sicherschnell gestopft.
jene mit custom roms, werden da eher probleme bekommen, da man nie weiß, was dort alles verändert wurde.
aber im moment ist der marktanteil sowieso noch zu gering, dass rentiert sich nicht.
Also die Rechte die bei der Installation angezeigt werden ist schon eine gute Sache, aber richtig anschauen tue ich die auch nicht. Zum Beispiel der Punkt Kontakte ist bei ziemlich jeder App drin die über Werbung finanziert wird. Hab zumindest mal gelesen (meine sogar hier im Forum) das diese Werbeanbieter das Recht Kontakte auszulesen verlangt.
Da sehe ich viel eher ein Problem, als mit Viren. Da man nie wirklich weiß was die Werbeanbieter da in ihren vorgefertigten Routinen drin haben und was mit unseren Kontaktdaten evtl. passiert.
Vielleicht hat einer der hier vertretenen Entwickler ja mal nähere Infos zu dem Thema.