Kategorie: Mobile Business

Einkaufen per Apps oft gefährlich

30. November 2012

Smartphone- und Tablet-Apps ermöglichen den Nutzern sämtliche Waren nicht nur bequem von zu Hause aus zu bestellen, sondern dies auch mobil zu erledigen. Vielfach wurde in diesem Zusammenhang darüber berichtet, dass insbesondere offene WLAN-Netze ein Sicherheitsrisiko darstellen. Viele App-Hersteller deklarieren ihre Apps jedoch für hinreichend sicher und klären den Nutzer darüber auf, dass das Risiko eines Datenverlustes – u.a. wegen durchgehender Verschlüsselungen – ausgeschlossen sei. Nach einem Bericht der Tagesschau ist dies hingegen nicht immer der Fall. Ein durchgeführter Test habe erhebliche Lücken erkennen lassen, die in offenen WLAN-Netzen ein erhebliches Risiko darstellen. Dritte könnten sich somit auch ohne entsprechende Hacker-Kenntnisse in die Sicherheitslücken einklinken und mit einfach zu bedienenden Programmen sensible Daten der Nutzer (z.B. Kreditkartennummern) abfangen. Den Angaben der App-Hersteller über die absolute Sicherheit ihrer Apps wäre insofern kein Glauben zu schenken, als dass diese Aussagen den Hauptrisikofaktor der WLAN-Netze unberücksichtigt lassen.

Kategorien: Hackerangriffe · Mobile Business · Online-Datenschutz
Schlagwörter: , ,

Google: Der Suchmaschinenbetreiber zahlt 22,5 Millionen Dollar für Cookies in Safari-Browser

20. November 2012

Medienberichten zu folge kann der Streit der Suchmaschine des US-amerikanischen Unternehmens Google Inc. um die durch Google initiierten und dabei die Datenschutz-Einstellung umgehenden Cookies im Safari-Browser mit der amerikanischen Handelskommission FTC mit der Zahlung von 22,5 Millionen Dollar beendet werden. Eine Billigung dieses Vergleiches kündigte die zuständige US-Richterin Susan Illston am Freitag an, da ihr die Summe angemessen erscheine.

Folgende Beiträge könnten Sie auch interessieren:

http://www.datenschutzticker.de/index.php/2012/08/google-bildung-eines-datenschutzteams/

http://www.datenschutzticker.de/index.php/2011/03/google-analytics-und-die-datenschutzkonforme-ausgegstaltung-von-websiteanalysen/

Kategorien: Allgemein · Mobile Business
Schlagwörter: , , ,

BMELV: Datensicherheit von Smartphones obliegt Herstellern

9. November 2012

Die Ministerin des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV)  Ilse Aigner sieht Medienangaben zufolge Entwickler von Apps und Smartphonehersteller in der Pflicht, für die Gewährleistung von hinreichendem Datenschutz zu sorgen. Insbesondere Apps würden eine Haupteinfallstelle für Datenmissbrauch darstellen, da diese auch auf Daten zugreifen, die nicht benötigt werden. Die Anbieter müssen nach Aigner die Verbraucher mit hohen Sicherungsvorkehrungen effektiv vor Datenmissbrauch schützen. Jeder Verbraucher müsse „jederzeit die volle Kontrolle über seine Smartphone-Daten“ behalten können. Aigner beabsichtige außerdem, sich im Rahmen der Entwicklung der zur Zeit stattfindenen Entwicklung der EU-Datenschutz-Grundverordnung für die Verpflichtung zu datenschutzfreundlichen Voreinstellungen und zur Berücksichtigung des Datenschutzes im Produkt-Design stark zu machen (privacy by design). So müsse beispielsweise stets der Verbraucher den Zugriff auf Kontaktdaten oder den Standort ausdrücklich erlauben (Opt-In-Verfahren), nicht etwa die App im Alleingang auf die Daten zugreifen.

 

Kategorien: Mobile Business
Schlagwörter: , ,

Kostenlose Apps bergen häufiger Datenrisiko

7. November 2012

Wer sich kostenlose Apps herunterlädt, sollte dies nicht als wohltätige Zuwendung der Programmierer empfinden. Fast immer „bezahlt“ der Nutzer mit Zugriffsrechten auf seine Daten. Nach einer Untersuchung des Netzdienstleisters Juniper Networks besteht bei kostenlosen Apps, die auf Basis der Android-Plattform operieren, ein erhöhtes Risiko für die Daten der Verbraucher. Diese greifen nach Erkenntnissen der Studie besonders häufig auf Standortdaten und Adressbücher der Nutzer zu, häufig ohne funktionelle Notwendigkeit und/oder vorherige Information des Verbrauchers. Juniper analysierte nach eigenen Angaben zwischen März 2011 und September 2012 circa 1,7 Millionen kostenlose und kostenpflichtige Apps unterschiedlicher Themenbereiche des Android-basierten Google Play Markets. Als besonders gefährliche Apps wurden dabei Renn- und Kartenspiele ausgemacht, die auffällig häufig nach SMS- und Anruf-Rechten griffen. Dabei war es jedoch unerheblich, ob diese kostenlos oder kostenpflichtig seien. Ganze 99% der kostenpflichtigen Rennspiele reklamierten unbegründet SMS-Rechts für sich. Dem gegenüber waren es noch ganze 92% bei den kostenlosen. Auch kostenlose Casino-Apps gerieten ins Visier der Untersuchung. 84% forderten unbegründet SMS-Rechte ein, 94% Anruf-Rechte und 84% Kamera-Rechte.

Juniper empfiehlt den Nutzern von Apps vor der Installation abzuwägen, ob die nicht abdingbare Zulassung der Zugriffsrechte durch die schlichte Installation der Apps tatsächlich hingenommen werden wolle oder ob es angesichts der undurchsichtigen Praktiken der Programme nicht von einer Installation Abstand genommen werden solle. Nutzer von iOS-Apps sollten sich angesichts der Ergebnisse der Studie jedoch nicht in Sicherheit wähnen. Eine Untersuchung der Apple-Apps war schlicht nicht möglich, da diese die untersuchten Informationen der Apps schon gar nicht zur Verfügung stellen.

Kategorien: Mobile Business
Schlagwörter: ,

LDI RlP: Mobilfunkanbieter verwertet Standortdaten seiner Kunden

2. November 2012
Der rheinland-pfälzische Landesdatenschutzbeauftragte (LDI RlP) Edgar Wagner äußerte anlässlich der jüngst bekannt gewordenen „Vermarktungsstrategie“ des spanischen Mobilfunkanbieters Telefónica, zu dem auch das Unternehmen o2 gehört, Kritik. Der Telekommunikationkonzern plane durch das Projekt „Telefonica Dynamic Insight“ Ortungsdaten von seinen Kunden, die Aufschluss geben, wann und wie lange sich ein Kunde – auch ohne zu telefonieren – aufhält, wirtschaftlich zu verwerten. Ermöglicht werde dies durch einen neuen unscheinbare anmutenden Passus im Vertragswerk des Mobilfunkanbieters, wonach o2 zukünftig nicht nur die Vertragsdaten (z.B. Anschrift, Bankverbindung und Ausweisnummer), sondern auch die bei der Mobilfunknutzung anfallenden Verkehrsdaten zu Vermarktungszwecken nutzen will. Zu diesen Daten würden neben den Nummern der Gesprächspartner auch die Standortdaten der Nutzer zählen. Schon jetzt werbe o2 seinen Werbekunden gegenüber mit dem Angebot: „Mit Telefónica Dynamic Insights können Sie ab jetzt sehen, wohin sich Kunden bewegen, während sie sich bewegen. Sie erfahren, wo Ihre potenziellen Kunden wirklich sind, wann sie da sind – und wie oft.“
Es müsse ausgeschlossen werden, dass höchstpersönliche Informationen meistbietend veräußert werden – dem Supermarkt von nebenan, dem PR-Konzern, vielleicht aber auch dem eigenen Arbeitgeber oder dem misstrauischen Ehegatten, kommentiert Wagner dieses Angebot. Da die Einführung des Vermarktungssystems in Deutschland bereits angekündigt wurde, rät Wagner den Kunden von o2 schnell zu handeln. Es solle gegenüber o2 protestiert werden und man solle der Nutzung ihrer Daten zu Werbezwecken ausdrücklich widersprechen. „Der Kampf um die wirtschaftliche Vermarktung der Kundendaten ist in vollem Gange. Jetzt heißt es für die Verbraucherinnen und Verbraucher, aufmerksam zu sein und dem Handel mit den eigenen Daten einen Riegel vorzuschieben. Solange der Gesetzgeber nicht wirksam einschreitet, muss jeder selbst für den Schutz seiner Daten eintreten.“, so Wagner.

Android: Diverse Apps verschlüsseln Kommunikation fehlerhaft

30. Oktober 2012

Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper  „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.

Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.

Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , ,

BITKOM: Branchenbefragung zu „Bring Your Own Device“

10. Oktober 2012
Aus einer Branchenbefragung unter deutschen ITK-Unternehmen des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) geht hervor, dass fast die Hälfte der Unternehmen ihren Mitarbeitern gestatten, ihre privaten Geräte mit dem Firmennetzwerk zu verbinden (sog. Bring Your Own Device, BYOD). 60 Prozent dieser Unternehmen wiederum sollen dafür spezielle Regelungen implementiert haben. Die Branchenbefragung habe außerdem ergeben, dass sich 81 Prozent der Unternehmen, die BYOD zulassen, eine höhere Mitarbeiterzufriedenheit erhoffen. 74 Prozent wiederum sollen Effizienzsteigerungen erwarten, weil die Mitarbeiter mit ihren Geräten vertraut sind. Rund 40 Prozent wünschen sich aufgrund der Gestattung von BYOD als moderner Arbeitgeber wahrgenommen zu werden.
Jedes zweite befragte Unternehmen (53 Prozent) soll hingegen private Endgeräte am Arbeitsplatz nach wie vor ablehnen, u.a. weil man erhöhten Wartungsaufwand und Sicherheitsprobleme befürchtet.
„Bevor Unternehmen ihren Mitarbeitern die Nutzung privater Geräte am Arbeitsplatz erlauben, sollten sie klare Regeln aufstellen – insbesondere zur Datensicherung und dem Verhalten bei Verlust des Geräts“, so Herbert Merz vom BITKOM-Präsidium. Mit einem sogenannten Mobile Device Management (MDM) sei es Unternehmen möglich, zentral Mobilgeräte verwalten. Somit könne der Administrationsaufwand deutlich verringert werden, indem etwa Sicherheits-Updates zentral verteilt und Backups angelegt werden. Jedenfalls sollten sich Arbeitgeber mit der Nutzung privater Endgeräte am Arbeitsplatz „aktiv auseinandersetzen“.

Android-Smartphones und -Tablets mit erheblichen Sicherheitsleck

8. Oktober 2012

Smartphones haben durch die enorme technische Entwicklung längst den Status als mobiler Alleskönner erreicht und stellen für viele Nutzer längst den wesentlichen Knotenpunkt der Onlinekommunikation dar. Fluch und Segen der Entwicklung bleibt die allgegenwärtige Verfügbarkeit der auf und in der Peripherie der Smartphones gespeicherten Daten. Ist das Gerät einmal verloren, gilt dies auch für viele darauf gespeicherte Daten. Problematisch wird dies vor allem, wenn es sich um sensible Daten handelt. Auch Samsung versuchte dieser Gefahr Herr zu werden, indem eine Fernlöschung der Daten ermöglicht wurde, die einen unbefugten Zugriff auf Daten nach Verlust verhindern soll.

Wie der Sicherheitsexperte Ravi Borgaonkar auf der Hackerkonferenz Ekoparty demonstrierte, ist es allerdings auch möglich Android-Smartphones von Samsung, bei denen der Hersteller die Android-Version mit eigener Software angepasst hat, aus der Ferne auf Werkseinstellungen zurückzusetzen. Dazu nutzte er eine Schwachstelle im Samsung-eigenen Wählprogramm, durch die einzelne Smartphone-Varianten ohne Rückfrage sogenannte USSD-Codes (Unstructured Supplementary Service Data) ausführen, die über speziell präparierte Links übergeben werden. Sendet man an ein solches Grät den Code *767*3855# wird das Handy in die Werkseinstellung zurück versetzt.

Als Einfallstelle solcher Links dienen etwa präparierte Websites, NFC-Tags oder WAP-Push-Nachrichten über SMS-Gateways. Heise-Online konnte die Sicherheitslücke zunächst in einem Test ebenfalls mit einem Samsung Galaxy S 2 mit Android 2.3.6. reproduzieren und stellte in der Folge fest, dass potentiell die meisten Smartphones und UMTS-Tablets betroffen sind, auf denen die Android Version Ice Cream Sandwich (4.0.x.) oder älter installiert ist. Als Lösung rät Heise zu einem Update auf Android 4.1.1 oder zur Installation eines Apps wie TelStop, NoTelURL oder USSD-Filter.

Kategorien: Mobile Business
Schlagwörter: ,

Sicherheitslücke im Messenger-Dienst WhatsApp

17. September 2012

Der Online-Dienst heise security berichtet, dass WhatsApp weitaus unsicherer ist, als man zunächst vermutet hat. WhatsApp ist ein Kurznachrichtendienst, der über die Datenverbindung des Handys funktioniert und so kostenlose Kurznachrichten an andere WhatsApp-Nutzer ermöglicht.

Heise security ist es gelungen, nur mithilfe frei zugänglicher Tools einen anderen WhatsApp-Account zu übernehmen. Die Gefahr einer Übernahme bestehe immer, wenn WhatsApp in einem öffentlichen WLAN genutzt werde. Sei der Account einmal geknackt, könne er später nicht mehr abgesichert werden, so das Fazit.

Erst vergangene Woche war bekannt geworden, dass WhatsApp für die Authentifizierung des Kontos ein selbsterstelltes Passwort nutzt. Auf der Plattform Android wird zu diesem Zweck die Seriennummer (IMEI) zu einem MD5-Hash generiert, unter iOS bezieht sich der Hash auf die MAC-Adresse. Zur Nacherzeugung des Passworts müssen nur die Ausgangswerte des Hashs bekannt sein, also IMEI-Nummer oder MAC-Adresse. Die MAC-Adresse wird im WLAN mitgesendet, sodass ein Angreifer nur noch die Rufnummer herausfinden müsste, um den Account zu kapern.

Angesichts der gravierenden Sicherheitslücken ist bei der Nutzung von WhatsApp Vorsicht geboten.

Apple bestreitet Weitergabe von iOS-Geräte-ID´s

7. September 2012

Nachdem am Dienstag über den Twitter-Account @AnonymousIRC Downloadlinks veröffentlicht worden waren, die zu einer Datei mit 1 Millionen iOS-Geräte-ID´s inklusive Unique Device Identifiern (UDID) führte, hat am darauf folgenden Mittwochabend Apple selbst dazu Stellung bezogen. Der Stellungnahme von Apple war eine eben solche der US-Ermittlungsbehörde FBI vorausgegangen. Das FBI war zunächst mit dem Vorwurf konfrontiert worden, es habe im großen Stil Daten von iOS-Nutzern gesammelt, welche durch einen Cyber-Angriff der Hacker-Gruppe Anonymous bzw. deren Splittergruppe AntiSec auf einen Laptop eines FBI-Mitarbeiters nach außen gelangt seien. Insgesamt soll es sich dabei um 12,37 Millionen Daten gehandelt haben, von denen 1 Millionen im Weiteren den Weg in die Datei fanden. Das FBI hatte dies entschieden dementiert. Apple teilte nun gegenüber Mac & I mit, das FBI habe die entsprechenden Informationen weder angefordert, noch habe das Unternehmen diese an „das FBI oder irgendeine andere Organisation“ weitergeleitet.

Desweiteren ließ Apple mitteilen, dass die Nutzung der UDIDs durch iOS-Apps zukünftig verboten werden soll. So werde mit dem kommenden iOS 6 eine neue Schnittstellen-Technologie installiert, welche den Rückgriff auf UDIDs ersetzen soll. Hinweise für betroffene Nutzer erteilte Apple hingegen nicht.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , , , ,
1 11 12 13 14