Kategorie: Mobile Business
17. September 2012
Der Online-Dienst heise security berichtet, dass WhatsApp weitaus unsicherer ist, als man zunächst vermutet hat. WhatsApp ist ein Kurznachrichtendienst, der über die Datenverbindung des Handys funktioniert und so kostenlose Kurznachrichten an andere WhatsApp-Nutzer ermöglicht.
Heise security ist es gelungen, nur mithilfe frei zugänglicher Tools einen anderen WhatsApp-Account zu übernehmen. Die Gefahr einer Übernahme bestehe immer, wenn WhatsApp in einem öffentlichen WLAN genutzt werde. Sei der Account einmal geknackt, könne er später nicht mehr abgesichert werden, so das Fazit.
Erst vergangene Woche war bekannt geworden, dass WhatsApp für die Authentifizierung des Kontos ein selbsterstelltes Passwort nutzt. Auf der Plattform Android wird zu diesem Zweck die Seriennummer (IMEI) zu einem MD5-Hash generiert, unter iOS bezieht sich der Hash auf die MAC-Adresse. Zur Nacherzeugung des Passworts müssen nur die Ausgangswerte des Hashs bekannt sein, also IMEI-Nummer oder MAC-Adresse. Die MAC-Adresse wird im WLAN mitgesendet, sodass ein Angreifer nur noch die Rufnummer herausfinden müsste, um den Account zu kapern.
Angesichts der gravierenden Sicherheitslücken ist bei der Nutzung von WhatsApp Vorsicht geboten.
7. September 2012
Nachdem am Dienstag über den Twitter-Account @AnonymousIRC Downloadlinks veröffentlicht worden waren, die zu einer Datei mit 1 Millionen iOS-Geräte-ID´s inklusive Unique Device Identifiern (UDID) führte, hat am darauf folgenden Mittwochabend Apple selbst dazu Stellung bezogen. Der Stellungnahme von Apple war eine eben solche der US-Ermittlungsbehörde FBI vorausgegangen. Das FBI war zunächst mit dem Vorwurf konfrontiert worden, es habe im großen Stil Daten von iOS-Nutzern gesammelt, welche durch einen Cyber-Angriff der Hacker-Gruppe Anonymous bzw. deren Splittergruppe AntiSec auf einen Laptop eines FBI-Mitarbeiters nach außen gelangt seien. Insgesamt soll es sich dabei um 12,37 Millionen Daten gehandelt haben, von denen 1 Millionen im Weiteren den Weg in die Datei fanden. Das FBI hatte dies entschieden dementiert. Apple teilte nun gegenüber Mac & I mit, das FBI habe die entsprechenden Informationen weder angefordert, noch habe das Unternehmen diese an “das FBI oder irgendeine andere Organisation” weitergeleitet.
Desweiteren ließ Apple mitteilen, dass die Nutzung der UDIDs durch iOS-Apps zukünftig verboten werden soll. So werde mit dem kommenden iOS 6 eine neue Schnittstellen-Technologie installiert, welche den Rückgriff auf UDIDs ersetzen soll. Hinweise für betroffene Nutzer erteilte Apple hingegen nicht.
5. September 2012
Die Polizei Berlin nutzte im Zeitraum zwischen 2009 und April 2012 ganze 1408 Male das Instrument der Funkzellenabfrage und fragte dabei 6,6 Millionen Datensätze ab, wie jetzt Spiegel-Online berichtete. Dies soll jedoch nur in 116 Fällen zu brauchbaren Hinweisen in Form von neuen Ermittlungsinhalten geführt haben. Nicht zuletzt dieser Umstand sorgt für Kritik an den Maßnahmen. Die Berliner Piratenpartei fordert durch ihren Chef Christopher Lauer einen restriktive(re)n Umgang mit dem Verfahren. Zum einen gerieten durch die Methode unverhältnismäßig viele Unschuldige in das Visier der Ermittlungsbehörden, nur weil sie sich zu einer bestimmten Zeit an einem Ort befanden, in deren Nähe eine Straftat passierte. Zum anderen sollen die Betroffenen nach dem Dafürhalten der Piraten nach der Abfrage durch die Polizei zumindest über das Geschehen informiert werden.
30. August 2012
Der proprietäre plattformübergreifende Instant-Messaging Dienst für Smartphones WhatsApp hat auf die anhaltende datenschutzrechtliche Kritik reagiert und versendet Medienangaben zufolge Nachrichten in der aktuellen Version nun verschlüsselt. Weiterhin werde jedoch die Absendernummer ungeschützt übermittelt und ist somit ein leichtes Ziel für externe Zugriffe auf den Datenverkehr. Wie die Tagesschau-Online bereits im Mai 2012 unter Berufung auf Recherchen der Stiftung Warentest berichtete, sendet WhatsApp zudem das komplette Adressbuch des Nutzers an einen Server in den USA.
26. Juli 2012
Nach einer im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführten Verbraucherumfrage verzichtet jeder fünfte Smartphone-Besitzer in Gänze auf Sicherheitsfunktionen und jeder zweite auf das Aktivieren eines Virenschutzes. Zudem soll lediglich jeder sechste Smartphone-Besitzer ein Programm verwenden, mit dem ein Mobiltelefon bei Verlust oder Diebstahl geortet werden kann, lediglich jeder neunte Smartphone-Besitzer habe eine Software installiert, die nach einem Verlust per Fernzugriff die Löschung von Daten ermöglicht.
„Bei der Nutzung von internetfähigen Smartphones sind der Schutz des Endgeräts und die Sicherheit der gespeicherten Daten genauso wichtig wie bei jedem PC auch. Smartphones sind keine Handys, Smartphones sind Hochleistungs-Computer, mit denen man auch telefonieren kann.“ so der Präsident der BITKOM Kempf. Daher werde Smartphone-Besitzern geraten, den Zugriff auf Smartphone schützen (z.B. durch Eingabe einer PIN), Sicherheitsfunktionen zu nutzen und Antivirenprogramme zu installieren. Daneben sollten Apps nur aus vertrauenswürdigen Quellen installiert werden, wobei Updates von Apps und Betriebssystem möglichst umgehend installiert werden sollten. Zudem sei ein “gesundes Misstrauen” von Vorteil. Es sollte nicht jeder Anhang geöffnet und nicht jedem Link gefolgt werden.
Apples Spracherkennungsassistentin Siri (Abkürzung für: Speech Interpretation and Recognition Interface) erfreut sich seit ihrer Einführung im Betriebssystem iOS 5 großer Beliebtheit. Dabei ist zu vermuten, dass vielen Nutzern die konkrete Funktionsweise der Software nicht bewusst ein dürfte. Gleiches dürfte für die datenschutzrechtlichen Bedenken, insbesondere wegen des Umstandes, dass jede Sprachanfrage auf den Servern von Apple auf unbestimmte Zeit gespeichert wird, gegenüber der Software gelten.
Wie Technology Review in seiner Online-Ausgabe berichtete, ermöglichen die gespeicherten Daten über die Anlage von Stimmprofilen auch die biometrische Identifizierung von Nutzern. Apple-Sprecherin Trudy Muller soll dies bestätigt, jedoch zugleich darauf hingewiesen haben, dass das Unternehmen besonders hohen Wert auf den Schutz der Privatsphäre seiner Kunden legt. So würden die Anfragen der Nutzer und die dazugehörigen Antworten verschlüsselt übertragen und die aufgezeichneten Daten nicht mit anderen Informationen zu den Nutzern verknüpft. Nach dem Bericht stimmt dies jedoch nicht in Gänze: Um eine Frage an Siri zu bearbeiten, sollen die Sprachdaten an Apple-Server übertragen, in Lautbestandteile zerlegt und die erkannten Worte dann inhaltlich analysiert werden. Um den Inhalt in einen Kontext zu stellen, greife das Analysesystem auch auf die Kontaktliste und die Position des Smartphones zurück, von dem die Frage stammt. Die Stimmaufzeichnung berge daher grundsätzliche Gefahren. Zum einen könnten die Daten an nicht autorisierten Stellen gelangen und sowohl für Strafverfolgungsbehörden als auch für Hacker von großem Interesse sein. Zum anderen könnten repressive Regime sich für Aufzeichnungen interessieren, wer sein Smartphone nach dem Ort einer politischen Demonstration gefragt habe.
24. Juli 2012
Das Landgericht (LG) München I hat entscheiden (Urt. v. 12.01.2012 – Az.: 17 HK O 1398/11), dass Betreiber von öffentlichen WLAN Netzwerken ihre Nutzer nicht vor Zugang zum Internet identifizieren können müssen. Demnach ist der Betrieb von anonymen WLAN Hotspots, beispielsweise in Cafés, Bars, Restaurants und Hotels weiterhin möglich. Nach Auffassung des Gerichts besteht keine rechtliche Verpflichtung der Betreiber zur Erhebung und Speicherung der aus der Nutzung des Hotspots gewonnenen Nutzerdaten. Insbesondere könne eine solche weder aus den Regelungen des Telekommunikationsgesetzes (TKG) noch aus dem Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) hergeleitet werden.
In einer Pressemitteilung begrüßte Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung die Entscheidung des Landgerichts. “Wenn eine Identifizierung von Nutzern kostenloser Hotspots nicht erforderlich ist, wie das Landgericht München festgestellt hat, dann ist sie auch nicht zulässig: Denn das Telekommunikationsgesetz verbiete(t) die Erhebung nicht erforderlicher Daten“, so Elbing.
Offene Fragen bleiben jedoch bestehen. So ist nach wie vor ungeklärt, ob und in welchen Umfang sich Haftungsrisiken für die Betreiber von anonymen WLAN Hotspots für rechtswidriges Verhalten der Nutzer realisieren und wie sich die Betreiber hiergegen absichern können.
9. Juli 2012
Die vergangene Woche vorgestellte App “SRT AppGuard” ermöglicht Android-Nutzern, die Berechtigungen der installierten Apps zu kontrollieren. Das Programm stammt von der Firma Backes SRT, einem Universitäts-Spin-Off initiiert von Prof. Dr. Michael Backes. Die App ist kostenlos herunterladbar, jedoch in Googles Play-Store derzeit nicht verfügbar. Die Anbieter haben die App auf ihrer Webseite zum Download bereitgestellt.
Android ist von Hause aus nur darauf ausgelegt, den Nutzer über die Berechtigungen von Apps zu informieren – eine Chance, einzelne teils sehr weitgehende Berechtigungen bei der Installation abzulehnen, besteht nicht. Lässt sich beispielsweise eine Wecker-App die Berechtigung zum Lesen der Kontaktdaten sowie vollständigen Internetzugriff einräumen, müsste man entweder auf die gesamte App verzichten oder hinnehmen, dass das Adressbuch den Weg ins Internet finden könnte. Eine Möglichkeit zur Kontrolle besteht nur auf solchen Smartphones, bei denen unter Verlust der Herstellergarantie der Root-Zugriff freigeschaltet wurde.
Die App “SRT AppGuard” kommt jedoch ganz ohne Root-Zugriff aus: Sie errichtet keine Blockade oder Firewall auf Systemebene, sondern entzieht jeder App einzeln ihre Berechtigungen. In drei Schritten wird die App zunächst deinstalliert, dann modifiziert und schließlich wieder installiert. Anschließend hat man über “SRT AppGuard” die Wahl, Berechtigungen bestehen zu lassen oder gezielt zu deaktivieren. Auch der Internetzugriff lässt sich so vollständig abschalten oder auf einzelne erlaubte Adressen beschränken.
“SRT AppGuard” vermag auf diesem Weg beim Schutz der eigenen persönlichen Daten wie auch der unternehmensbezogenen Daten auf privaten Geräten im dienstlichen Einsatz – Stichwort BYOD (“Bring Your Own Device”) – zu helfen.
5. Juli 2012
Nach einer im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführten Studie ist jedem zehnten Deutschen (7,7 Millionen) schon einmal sein Mobiltelefon abhanden gekommen, wobei 3,5 Millionen Deutschen das Gerät gestohlen wurde und 2,8 Millionen Deutsche nicht bestimmen konnten, ob das Gerät gestohlen oder verloren wurde. In 73 Prozent der Fälle blieb das Gerät den Studienergebnissen zufolge verschwunden.
Da der Verlust eines Mobiltelefons, insbesondere der Verlust eines Smartphones, schwerwiegende Konsequenzen haben kann, empfiehlt der BITKOM, hinreichende Sicherheitsvorkehrungen zu treffen. So sei zum einen stets eine PIN-Sperre einzustellen, die es einem Finder oder Dieb verwehrt, das Gerät zu nutzen oder Zugriff auf die gespeicherten Daten zu nehmen. Zum anderen sei es empfehlenswert, die IMEI-Nummer des Mobiltelefons zu notieren, mittels derer das Gerät eindeutig identifiziert werden kann und die zusätzlich benötigt werde, um bei der Polizei Anzeige wegen Diebstahls erstatten zu können. Nach Bemerken des Verlusts sei es außerdem ratsam, die Sim-Karte bei dem Mobilfunk-Provider sperren zu lassen und so zu verhindern, dass ein Unbefugter mittels des Gerätes telefonieren, SMS verschicken oder im Internet surfen kann. Hilfreich für das Wiederauffinden eines verlorenen Mobiltelefons seien des Weiteren Lokalisierungs-Dienste, wobei viele der Services für Smartphones zudem das Löschen der eigenen Daten aus der Ferne zulassen, was der Schadensminderung erheblich dienen könne.
22. März 2012
Seit längerem steht Facebook aufgrund des Umgangs mit den Daten seiner Nutzer weltweit in der Kritik. Nun reagiert Facebook, aber anstatt die Nutzerrechte zu stärken, schränkt Facebook diese weiter ein.
Die meisten Facebook Nutzer werden die Änderungen der sog. „Datenverwendungsrichtlinien“ gar nicht erst wahrnehmen. Dies erklärt sich dadurch, dass Nutzer nur dann vorab informiert werden, wenn sie „Fan“ der „Facebook Site Governance“-Webseite sind.
Wie kritisch die geänderten Nutzungsbedingungen zu sehen sind, verdeutlicht folgende Übersicht:
- Ein Akzeptieren der geänderten Nutzungsbedingungen erfolgt durch bloßes Weiternutzen von Facebook; hier ist eine Einwilligung des Nutzers notwendig.
- Die Übermittlung von eigenen Daten erfolgt auch dann an Anwendungen, wenn „andere Nutzer, die deine Inhalte und Informationen sehen können, eine Anwendung verwende[n]“; die Forderung von Facebook, dass Anwendungen die Privatsphäre zu respektieren haben, ist in diesem Fall als nicht mehr ausreichend zu erachten.
- Wenn Software von Facebook (z.B. Browser-Plug-in) verwendet wird, erteilt der Nutzer sein Einverständnis, dass diese automatisch aktualisiert werden kann; darin, dass dem Nutzer die Möglichkeit genommen wird, selbst über eine Installation von Updates zu entscheiden, ist ein Widerspruch zu bestehenden Sicherheitsstandards zu sehen.
- Facebook muss bezahlbare Dienstleistungen und Kommunikationen nicht als solche kennzeichnen; dies könnte einen Verstoß gegen § 6 Abs. 1 Telemediengesetz darstellen.
Um für Entspannung zu Sorgen, hat Facebook für den Zeitraum zwischen dem 15. März 2012 und dem 22. März 2012 eine Diskussionsplattform über die neuen Nutzungsbedingungen online gestellt. Ab dem 22. März gelten die neuen Nutzungsbedingungen dann uneingeschränkt für alle Nutzer.
Im Ergebnis ist damit festzuhalten, dass Facebook es anscheinend verpasst, das Recht der Nutzer, selbst über den Umfang der Verwendung ihrer Daten zu entscheiden, im erforderlichen Maße zu beachten und technisch umzusetzen. Vielmehr werden bestehende Bedenken sowohl an der Vereinbarkeit mit deutschen als auch europäischen Datenschutzrecht noch vertieft. (md)
Pages: 1 2 ... 8 9 10 11 12 13 14 15 
