Internetsicherheit (Subject) / Smartphones - Sicherheit auf Anwendungsebene (Lesson)
There are 6 cards in this lesson
Smartphones - Sicherheit auf Anwendungsebene
This lesson was created by ddoehler.
This lesson is not released for learning.
- Sicherheit auf Anwendungsebene Installation von APPS (Anwendungen) ist ein wesentlicher Infektionskakanl für Malware alles Art.- Anwendungen und deren Quellen müssen also vertrauenswürdig sein. Im Unterschied zum "normalen" Rechner sind Handys und Smartphones direkt mit dem Rechnungskonto beim Telekommunikatiosanbieter verbunden (und meist auch mit einer Kreditkarte) Anwendungen haben nicht nur Zugang zu Daten, sondern können auch Anrufe und Versendungen von SMS veranlassen, ohne dies am Display anzuzeigen → ohne Zustimmung des Nutzers können so Kosten verursacht werden.
- Absicherung des Kommunikationskanals - Ende-zu-Ende-Verschlüsselung des Kommunikationskanals Falls Kommunikationskanal nicht ausreichend vertrauenswürdig ist, kann Sicherheit mit Hilfe entsprechender Apps (und Verschlüsselung) erreicht werden. Ende-zu-Ende-Verschlüsselung für Telefonie Es gibt Apps zur Verschlüsselung von Telefonaten mit Smartphones Apss nutzen verschlüsselte VOIP Kommunikation - belasten also das Datenvolumen (und nicht das Gesprächsvolumen) und Nutzen WLAN oder UMTS/LTE bekannte Apps zur Gesprächsverschlüsselung: - RedPhone (Android) und Signal (iPhone) - gratis - SilentCircle (Android, iOS) - kostenpflichtig - OSTEL (viele System ) - kostenpflichtig
- Absicherung des Kommunikationskanals - Verschlüsselung für Messaging Ende-zu-Ende-Verschlüsselung für Messaging: Sicherheitsprobleme: Messangersysteme wie das verbreitet WhatsApp bieten häufig keine Ene-zu-Ende Verschlüsselung → zumindest Diensteanbieter kann alle Nachrichten mitlesen. Absicherung der Kommunikationskanäle zwischen App und Server bei vielen Anwendungen unzureichend → Dritte können Nachrichten mitlesen. Nachrichten werden unter Umständen unverschlüsselt auf dem Smartphone gespeichert → können von anderen Anwendungen ausgelesen werden. unsichere Messanger-Plattformen (ohne Verschlüsselung) sollten nur für "unkritische" Kommunikation verwendet werden. sichere Alternativen sind vorhanden, z. B.: - Threema (iPhone, Android, Windows Phone in Arbeit - TextSecure (Android) und Signal (iPhone) - WhatsApp für Android gibt es seit kurzem mit Verschlüsselung weiterer Aspect: manche Apps erlauben Löschen von Nachrichten auf dem Empfänger-Gerät (z. B. redact) oder zeitgesteuerte Löschung (Snappchat oder Wickr
- Absicherung der Kommunikationskanals - VerSchlüsselung von E-Mails Ende-zu-Ende-Verschlüsselung für E-Mails Einsatz von PGP/GPG auch auf dem Smartphone möglich zusätzliche Apps erforderlich: - Android: APG (Android Privacy Guard) + K9 Mail - iPhone: iPG Mail - Windows Phone: OpenPGP Bedienungskomfort der mobilen Lösungen nicht immer optimal. Wünschenswert Nahtlose Intergration von PGP/GPG in dei nativen Email-Clients der Hersteller.
- Gefahren durch Jailbreaking Besondere Gefahren gehen vom sogenannten Jailbreaking/Rooting aus Jailbreaking bezeichnet das (nicht authorisierte) Aufheben von Nutzungsbeschränkungen auf mobilen Geräten damit kann Angreifer modifizierte Frimware oder vom Hersteller nicht authorisierte Apps auf dem Gerät installieren. Jailbreaks nutzen Sicherheitslücken in Smartphone-Betriebssystemen aus um Sperren aufzuheben Typischer erster Schritt nach Jailbreak ist Installation eines alternativen Appstores bzw. Softwareverwaltungssystems. Z.B. Cydia Store ür iOS. Software aus alternativen Quellen ist nicht überprüft und kann Malware einschleusen. Jailbreak hebt Integritätsprüfung des SmartphoneOS auf (kein Schutz mehr vor Rootkits) Jailbreak kann auch SSH Zugang über WLAN auf Smartphones ermöglichen zur Einschleusung von SSH Würmern.
- Sicherheit auf Anwendungsebene - praktische Hinweise Apps nur aus offiziellen und vertrauenswürdigen Appstores beziehen grundsätzlich alle Apps von unbekannten Dritte als nicht vertrauenswürdig ansehen bei neuinstallation einer App angeforderte Zugangsrechte prüfen. Beispiel - eine Taschelampen App braucht keinen Zugang zum Adressbuch!, Anrufen und SMS. CyanogenMod ür Android Handys bietet bessere Kontrolle von Anwendungsrechten an. In-App Käufe kontrollieren, bzw. Kreditkarte nicht verbinden.