Schlagwort: Android

WhatsApp verhindert unbefugten Zugriff auf Konten durch 2-Faktor-Authentifizierung

10. Februar 2017

Mit seiner Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer unter iOS und Android, möchte WhatsApp den Konten seiner Nutzer einen besseren Schutz vor dem Zugriff Unbefugter gewährleisten.

Grundsätzlich wird der unbefugte Zugang zu einem Online-Konto zunächst mit einem Passwort und einem sogenannten Token, z.B. einem Smartphone, über das Sicherheitscodes empfangen werden, geschützt.

Dies war bisher bei WhatsApp jedoch nicht der Fall: Die WhatsApp Nutzerkonten konnten nicht anhand eines Passwortes geschützt werden. Vielmehr legitimierte sich der Nutzer lediglich über seine Mobilfunknummer und sein Smartphone. Mit der 2-Faktor-Authentifizierung kommt jetzt als zweiter Faktor ein PIN-Code hinzu.

Durchaus ist die Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer aus datenschutzrechtlicher Sicht begrüßenswert. So kann ein unbefugter Dritter die SIM Karte nicht einfach in ein anderes Smartphone stecken und sich Zugriff auf ein fremdes WhatsApp-Konto zu verschaffen.

Eine Pflicht stellt die 2-Faktor-Authentifizierung für die WhatsApp Nutzer jedoch nicht dar.

Der Nutzer legt unter der Rubrik „Einstellungen > Account > Verifizierung in zwei Schritten“ einen sechsstelligen Zahlencode fest, welchen WhatsApp abfragt, sobald ein Konto auf einem neuen Smartphone eingerichtet wird. Sollte der WhatsApp Nutzer seinen Zahlencode vergessen haben, kann er zusätzlich eine E-Mail-Adresse hinterlegen, über die er die 2-Faktor-Authentifizierung wieder ausschalten kann.

 

Online Banking mittels TAN-Apps in der Kritik

23. Oktober 2015

Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.

Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.

Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.

Fingerabdruckscan von Androidgeräten bedingt Sicherheitsbedenken

13. August 2015

Die von Android angebotene Fingerabdruck-Technologie wird nach einem Bericht von Spiegel-Online von IT-Spezialisten als unsicher eingestuft. So seien die sensiblen biometrischen Daten der Nutzer, etwa auf dem HTC One Max, unverschlüsselt auf dem Gerät gespeichert und somit für alle Apps relativ problemlos auslesbar. Den Fachkräften gelang es mehrere Fingerabdrücke zu kopieren, was als kritscheres Sicherheitsrisiko angesehen wurde, als etwa das Ausspähen eines Passwortes.

Anders verhielt sich das Thema bei Apple-Produkten. Diese seien weitgehend sicher. Die Daten würden hier unmittelbar nach dem Erfassen verschlüsselt und seien so vor unrechtmäßigen Zugriffen oder Nutzungen ausreichend gesichert.

Kategorien: Mobile Business
Schlagwörter: , , ,

Android-Handys: Gelöschte Daten wieder herstellbar

25. Mai 2015

Wie eine Studie der Camebridge University jetzt ergab, können sich Nutzer älterer Android-Handys nicht auf die sog. Factory Reset Funktion verlassen und davon ausgehen, dass sich ihr Gerät nach Durchführen dieser Funktion wieder im ursprünglichen Werkszustand befindet. Den Forschern zufolge wird der Löschvorgang nur unvollständig durchgeführt, persönliche Login-Angaben und andere personenbezogene Daten, inklusive Textnachrichten und Fotos sowie Kontaktdaten für Facebook und WhatsApp, werden nicht vollständig entfernt.

Darüber hinaus konnten auch Tokens von Google-Diensten wieder hergestellt werden, es konnte also eine Art Hauptschlüssel extrahiert werden und so etwa Zugriff auf Gmail und den Google-Kalender der ehemaligen Nutzer genommen werden.

Den Schätzungen der Wissenschaftler zufolge können rund 500 Million Geräte der Versionen Android 4.3 und älter betroffen sein. Eine vollständige Datenverschlüsselung kann helfen, das Problem jedenfalls abzumildern.

Sicherheitslücke im Browser von Android-Handys entdeckt

18. September 2014

Jeder der den standardmäßigen Internetbrowser des Android-Handys verwendet, kann ein potentielles Opfer von Datendiebstahl werden. Betroffen sind alle Smartphones, die den standardmäßigen Internetbrowser des Android-Handys verwenden und nicht mit der aktuellen KitKat-Version ausgestattet sind. Dies veröffentlichte ein pakistanischer Sicherheitsexperte in seinem Blog.

Durch einen Softwarefehler können Passwörter, Benutzernamen, Cookies und alles was mit der Tastatur eingegeben wird, ausgelesen werden. Möglich wird das durch eine Lücke in der Same Origin Policy (SOP). Diese Technik soll eigentlich verhindern, dass über externe Codes eben solche Informationen ausgelesen werden können. Ein externer Code kann zum Beispiel eingebettete Werbung auf einer Webseite sein.

Etwa drei Viertel der Andoried-Nutzer surfen laut Google noch mit dem Browser einer nicht ganz neuen Version, die diese Sicherheitslücke aufweist, durch das Netz.  Wer nicht weiß, welche Android-Version er auf dem Handy hat, kann dies mit einer Internetseite überprüfen. Durch einen Tipp auf den Test-Knopf erfährt man, ob das eigene Smartphone von der Sicherheitslücke betroffen ist. Erscheint ein Pop-Up-Fenster, besteht die Gefahr des Datenklaus.

Auf Anfrage von FAZ teilte Google inzwischen mit, dass für ältere Android-Versionen Patches veröffentlicht wurden, also Updates, die nur die spezielle Sicherheitslücke schließen sollen. Diese wurden an die Hersteller der Geräte übermittelt.

Außerdem kann man sich schützen, indem man einen anderen Browser (wie z. B.  Mozilla Firefox und Google Chrome) herunter lädt, so dass das Handy nicht mehr auf den Standard-Android-Browser zugreifen muss.

 

Kategorien: Allgemein · Mobile Business
Schlagwörter: ,

Gebraucht-Smartphones sind voll mit persönlichen Daten

10. Juli 2014

Insgesamt 20 Android-Smartphones hat ein Team des Virenschutzherstellers Avast untersucht, wie die Firma in ihrem Blog berichtet. Dabei wurden 20 Geräte bei Ebay gekauft, die vorgeblich von Daten bereinigten worden waren. Anschließend versuchte Avast mit marktüblicher Software, eventuell noch vorhandene Inhalte wiederherzustellen.

Dabei stieß das Avast-Team auf allerlei Datenrückstände: Auf den Geräten fanden sich mehr als 40.000 gespeicherte Fotos, darunter 1500 Familienfotos mit Kindern und 750 Fotos, auf denen sich Frauen entkleiden. 250 Bilder waren Selfies nackter Männer. Außerdem waren auf den Geräten über 750 Kurznachrichten und E-Mails sowie über tausend Hinweise auf Google-Sucheingaben. Stalker, Feinde und Identitätsdiebe könnten derartige Daten nutzen, warnt der Blogeintrag, beispielsweise für Erpressungsversuche. Bei vier Geräten waren die Sicherheitsexperten angeblich sogar in der Lage, den Vorbesitzer zu identifizieren.

Avast schreibt, im Zweifel reiche es nicht, die Dateien auf dem Smartphone einfach nur zu löschen. Sie müssten überschrieben werden, um unwiederbringlich verschwunden zu sein. Das Unternehmen verweist in diesem Zusammenhang auf eine eigene App – es gibt jedoch auch Konkurrenzsoftware, die dabei hilft. Tipps zum sicheren Datenlöschen liefert zum Beispiel das Fachmagazin „Chip“.

 

Kategorien: Mobile Business
Schlagwörter: , ,

Google Play Store übermittelt Nutzerdaten an Entwickler

15. Februar 2013

Der unaufhaltsame Vormarsch des Android-Betriebssystems, vorbei an der lange Zeit schier übermächtigen Konkurrenz des Apple App-Stores, liegt nach Ansicht vieler Nutzer vor allem in der Tatsache begründet, dass viele Programme dort günstiger oder im Gegensatz zum App-Store gar kostenlos zu beziehen sind. Dieser Vorteil hatte lange Zeit die geringere Auswahl als Kehrseite der Medaille, doch mit dem rapiden Anstieg von Android-Nutzern zog das Google-Angebot auch bei der App-Auswahl gleich und bietet inzwischen ca. 700.000 verschiedene Programme für Smartphones, Tablets und andere Devices an. Praktisch werden die App-Käufe im Google-Play-Store über Google Wallet abgewickelt.

Nach einem Bericht von Heise scheint sich Google Play jedoch mit dem Datenschutz seiner Nutzer nicht an europäischen Maßstäben zu orientieren. So bloggte der australische App-Autor Dan Nolan, dass er nach dem Verkauf einiger hundert Kopien einer App unerwartet Vorname, Nachname, Postleitzahl und Email-Adresse jedes einzelnen Käufers erhalten habe. Dabei sei es auch irrelevent gewesen, ob der User die App lediglich kostenfrei getestet, oder anschließend auch die kostenpflichtige Version erstanden hätte. Die Nutzer seien darüber auch nicht informiert worden.

Die Datenpreisgabe wurde laut Heise durch einen weiteren App-Autor bestätigt und verstößt in dieser Form gegen Googles eigene Privacy Policy. Eine Stellungnahme von Google steht derzeit noch aus.

Kategorien: Mobile Business
Schlagwörter: , ,

Datenschutz auf Android-Smartphones durch gratis App „APEFS“

15. Januar 2013

Es ist keine Neuigkeit, dass diverse Apps umfangreiche Berechtigungen enthalten, auf persönliche Informationen wie z.B. SMS, Kontakte oder Anrufe zuzugreifen, obwohl dies nicht notwendig für deren Funktionalität ist. Die von der Universität Siegen entwickelte kostenlose Android App „APEFS“ (Android Permission Filter System) bringt Licht in den Dschungel der Berechtigungslisten von Apps, um Nutzern so die Entscheidung zu erleichtern, ob Sie diese App mit dieser Berechtigungsliste tatsächlich installieren wollen. APEFS kann dabei sowohl den Google Play Store sowie bereits heruntergeladene Apps nach bestimmten Berechtigungen filtern.

Wie ein Blog berichtet, soll APEFS zum Beispiel verhindern, dass Apps unbemerkt Daten ausspähen und dann im Hintergrund zum Beispiel kostenpflichtige Dienste anrufen oder teure, sogenannte Premium-SMS versenden. Zudem soll eine Vorfilterung beim Google Play Store möglich sein, indem der Benutzer Filterkriterien wie möglicher Internetzugriff, Anrufe, SMS, E-Mails etc. eingibt, die seinen Sicherheitsvorstellungen entsprechen, APEFS anschließend in den Suchen und Charts nach verdächtigen Mustern sucht und so ein kontrolliertes Installieren der Apps ermöglicht. Die von Norton online angebotene App Permissions Comparison Widget soll  ähnlich wie APEFS arbeiten.

Android: Diverse Apps verschlüsseln Kommunikation fehlerhaft

30. Oktober 2012

Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper  „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.

Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.

Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , ,

Android-Smartphones und -Tablets mit erheblichen Sicherheitsleck

8. Oktober 2012

Smartphones haben durch die enorme technische Entwicklung längst den Status als mobiler Alleskönner erreicht und stellen für viele Nutzer längst den wesentlichen Knotenpunkt der Onlinekommunikation dar. Fluch und Segen der Entwicklung bleibt die allgegenwärtige Verfügbarkeit der auf und in der Peripherie der Smartphones gespeicherten Daten. Ist das Gerät einmal verloren, gilt dies auch für viele darauf gespeicherte Daten. Problematisch wird dies vor allem, wenn es sich um sensible Daten handelt. Auch Samsung versuchte dieser Gefahr Herr zu werden, indem eine Fernlöschung der Daten ermöglicht wurde, die einen unbefugten Zugriff auf Daten nach Verlust verhindern soll.

Wie der Sicherheitsexperte Ravi Borgaonkar auf der Hackerkonferenz Ekoparty demonstrierte, ist es allerdings auch möglich Android-Smartphones von Samsung, bei denen der Hersteller die Android-Version mit eigener Software angepasst hat, aus der Ferne auf Werkseinstellungen zurückzusetzen. Dazu nutzte er eine Schwachstelle im Samsung-eigenen Wählprogramm, durch die einzelne Smartphone-Varianten ohne Rückfrage sogenannte USSD-Codes (Unstructured Supplementary Service Data) ausführen, die über speziell präparierte Links übergeben werden. Sendet man an ein solches Grät den Code *767*3855# wird das Handy in die Werkseinstellung zurück versetzt.

Als Einfallstelle solcher Links dienen etwa präparierte Websites, NFC-Tags oder WAP-Push-Nachrichten über SMS-Gateways. Heise-Online konnte die Sicherheitslücke zunächst in einem Test ebenfalls mit einem Samsung Galaxy S 2 mit Android 2.3.6. reproduzieren und stellte in der Folge fest, dass potentiell die meisten Smartphones und UMTS-Tablets betroffen sind, auf denen die Android Version Ice Cream Sandwich (4.0.x.) oder älter installiert ist. Als Lösung rät Heise zu einem Update auf Android 4.1.1 oder zur Installation eines Apps wie TelStop, NoTelURL oder USSD-Filter.

Kategorien: Mobile Business
Schlagwörter: ,
1 2