Schadprogramme auf Mobilgeräten

Dieses Werk ist eine Übersetzung aus dem Englischen.

Weitere Beispiele proprietärer Schadsoftware

Schadprogramm, Schadsoftware oder engl. Malware ‑ ein Kofferwort aus Malicious ‚bösartig‘ und Software ‑ bezeichnet Software, die entwickelt wurde, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen (damit ist nicht Software gemeint, die zufällig Fehler enthält, obwohl diese selbst auch Schaden anrichten kann oder durch Sicherheitslücken beziehungsweise mangelnde Informationssicherheit zum Angriff auf Rechnersysteme ausgenutzt werden kann.
Eine Sicherheitslücke stellt einen Fehler in einer Software dar, durch den ein Programm mit Schadwirkung oder ein Angreifer in ein Rechnersystem eindringen kann.).

Schadsoftware und unfreie Software sind zwei verschiedene Fragestellungen. Der Unterschied zwischen freier und unfreier Software ist, ob Nutzer das Programm kontrollieren oder ob es umgekehrt ist. Es ist nicht direkt eine Frage dessen was das Programm macht wenn es ausgeführt wird. Jedoch ist unfreie Software in der Praxis oft Schadsoftware, weil das Bewusstsein des Entwicklers, dass Nutzer machtlos sein würden bösartige Funktionen zu beheben, dazu verführt, einige aufzuerlegen.

Einige Beispiele von Schadprogrammen auf mobilen Geräten (siehe auch Schadsoftware von Apple für spezifische Schadfunktionen der Apple iDinger):

Art der Schadsoftware

Hintertüren
Unsicherheit
Überwachung
Digitale Rechte-Minderung (DRM)
‑ Funktionalitäten, entwickelt um zu beschränken, was Nutzer mit den Daten auf ihren Rechnern tun können.
Gefängnisse
‑ Systeme, die Anwendungsprogrammen Zensur auferlegen.
Tyrannen
‑ Systeme, die jedes nicht vom Hersteller „autorisierte“ Betriebssystem zurückweisen.

Hintertüren in Smartphones

Die universelle Hintertür in Smartphones kommt als Wanze zum Einsatz: durch abhören der Mikrofone.
Die meisten Smartphones verfügen über eine universelle Hintertür, die verwendet wurde, um sie sich heimtückisch zunutze zu machen.
Samsung Galaxy-Geräte mit Varianten des proprietären Betriebssystems Android enthalten eine Hintertür, die den Fernzugriff auf die im Gerät gespeicherten Daten ermöglicht.
Samsungs Hintertür ermöglicht Zugriff auf beliebige Dateien im System.
Google hat in Android eine Hintertür, um Applikationen aus der Ferne zu löschen (sie befindet sich in einem Programm namens GTalkService [das über den Dienst Google Play aufgerufen wird, A. d. Ü.]).[2]

Ebenso kann Google durch den GTalkService-Dienst (der seit erscheinen dieses Artikels mit dem Google Play-Dienst zusammengeführt worden zu sein scheint) Apps zwangsweise und per Fernzugriff installieren [unter Wayback Machine (archiviert 2015-05-20)]. Dies trägt zu einer universalen Hintertür bei.[3][4]

Obwohl Googles Ausübung dieser Macht bislang nicht in böser Absicht geschah, ist der Punkt der, dass niemand solche Macht haben sollte, die auch böswillig verwendet werden könnte. Möglicherweise möchte man auch einen Sicherheitsdienst entscheiden lassen Programme per Fernzugriff zu deaktivieren, die, nach dessen Auffassung, als schädlich betrachtet werden. Aber es gibt keine Entschuldigung dafür, dem Dienst die Löschung der Programme zu erlauben, und man sollte das Recht haben zu entscheiden, wem (wenn überhaupt) man auf diese Art und Weise vertraut.

Unsicherheit in Smartphones

Diese Programmfehler sind/waren nicht beabsichtigt, so dass sie im Gegensatz zum Rest der Datei nicht als Schadsoftware zählen. Wir erwähnen sie, um die Annahme zu widerlegen, dass renommierte proprietäre Software keine schwerwiegenden Fehler hat.

Android-Geräte durch WLAN-Chips übernehmbar ‑ aufgrund schadhafter Software in Broadcoms unfreier Firmware.[6]
Samsung-Handys haben eine Sicherheitslücke, die einer SMS-Nachricht ermöglicht Ransomeware zu installieren.
Viele proprietäre Zahlungs-Apps senden persönliche Daten auf eine unsichere Art und Weise. Unerfreulichster Aspekt dieser Apps ist jedoch, dass das Bezahlverfahren nicht anonym ist.
US-Geheimdienst NSA kann sich Zugang zu iPhone- und BlackBerry-Geräten sowie zu Geräten mit Android-Betriebssystem verschaffen. Es gibt zwar kaum Details, es scheint aber, dass dies nicht über die universelle Hintertür funktioniert, von der wir wissen, dass sie nahezu alle tragbaren Telefone haben. Dies kann verschiedene ausnutzbare Programmfehler einschließen. Es gibt viele Programmfehler in der Mobilfunksoftware von Smartphones.[1]

Überwachung in Smartphones

Forscher finden laut einer aktuellen Studie[7] mindestens 234 Android-Spähprogramme, die Nutzer über verschiedene Geräte hinweg mit „Ultraschall-Leuchtfeuer“ verfolgen.[8]
Faceapp scheint eine Menge zu überwachen und zu beurteilen, wie viel Zugang es auf persönliche Daten im Gerät einfordert.
Gekoppelte Android-Apps können zusammenarbeiten, um persönliche Nutzerdaten an Server zu übertragen. Eine Studie berichtet über Zehntausende von zusammenspielenden Kopplungen.
Google Play sendet App-Entwicklern vorsätzlich persönliche Details von Nutzern, die die App installieren.

Nutzer lediglich nach der „Zustimmung“ zu fragen, ist nicht genug, um Aktionen wie diese zu legitimieren. An diesem Punkt haben die meisten Nutzer aufgehört, die „Liefer- und Zahlungsbedingungen“ zu lesen, die klarstellen, was sie da „zustimmen“. Google sollte gesammelte Informationen offen und ehrlich angeben, anstatt sie in einer vage formulierten EULA zu verstecken.

Allerdings müssen ‑ um die Privatsphäre der Menschen wirklich zu schützen ‑ Google und andere Unternehmen schon vorher daran gehindert werden, diese persönliche Information überhaupt erst zu bekommen!
Google Play (eine Android-Komponente) verfolgt sämtliche Bewegungen der Nutzer ‑ ohne Erlaubnis einzuholen!

Selbst wenn Google Maps und Standortverfolgung deaktiviert sind, muss Google Play selbst deaktiviert werden, um auch das Verfolgen vollständig zu beenden. Dies ist ein weiteres Beispiel für unfreie Software, die vorgibt Anweisungen des Nutzers zu beachten, obwohl sie tatsächlich etwas anderes tut. So etwas wäre mit freier Software fast undenkbar.
Verizon kündigte eine explizit das Einverständnis erfordernde proprietäre Such-App an, die auf einem ihrer angebotenen Telefonmodelle vorinstallierten. Die App gibt Verizon dieselben Informationen über die Suche der Nutzer, die Google normalerweise bekommt, wenn sie deren Suchmaschine benutzen.

Derzeit wird die App auf nur einem Telefonmodell vorinstalliert, und Nutzer müssen explizit ihr Einverständnis erklären bevor die App einsatzfähig ist. Wie dem auch sei, die App bleibt ein Spionageprogramm ‑ „optional“ oder nicht.
Meitu Fotobearbeitungs-App sendet Nutzerdaten an chinesisches Unternehmen.
Eine halbblinde Sicherheitsrezension einer Verfolger-App stellte fest: eklatante Fehler erlaubten jedermann in den persönlichen Benutzerdaten herumzuschnüffeln.. Die Rezension versäumt jedoch die Besorgnis zum Ausdruck zu bringen, dass die App die personenbezogenen Daten selbst an einen Server sendet, wo der Entwickler sämtliche Daten abgreift. Dieser „Dienst“ ist für Dumme!

Der Server hat sicherlich eine „Datenschutzrichtlinie“, und sie ist sicher wertlos, da es beinahe alle sind.
Apps mit enthaltener Symphony-Überwachungssoftware schnüffeln in Echtzeit aus, Radio- und Fernsehsendungen oder was auch immer ausgeschnüffelt werden soll. Auch auf was Nutzer auf verschiedenen Internetpräsenzen wie Facebook, Google+ und Twitter schreiben.
Mehr als 73 % und 47 % der populärsten Android- und iOS-Apps teilen persönliche sowie Verhaltens- und Positionsinformationem ihrer Nutzer mit Dritten.
In 500 der beliebtesten gratis Android-Apps wurde „kryptische Kommunikation“, ohne Bezug auf App-Funktionalität gefunden.

Der Artikel hätte diese Apps jedoch nicht als „free“ beschreiben dürfen: sie sind keine „freie“ Software. Die eindeutigste Möglichkeit Null-Preis bzw. ohne dass etwas dafür bezahlt werden muss auszudrücken ist gratis.

Der Artikel setzt voraus, dass übliche Analyseinstrumente legitim seien, aber ist das berechtigt? Softwareentwickler haben kein Recht zu analysieren, was Benutzer tun oder wie. „Analyse“-Instrumente, die ausschnüffeln, sind genauso falsch wie jedes andere ausschnüffeln.
Viele proprietäre Mobilgeräte-Applikationen melden, welche anderen Applikationen eine Nutzerin oder Nutzer installiert hat. Twitter tut dies auf eine Weise, die zumindest erkennbar und optional ist. Nicht so schlimm wie das, was andere tun.
Smartphones mit GPS senden per Fernzugriff auf Befehl ihren GPS-Standort, und Benutzer können dies nicht unterbinden: //www.aclu.org/government-location-tracking-cell-phones-gps-devices-and-license-plate-readers (die USA sagen, sie werden letzten Endes verlangen, dass alle neuen mobilen Telefone GPS haben).
Schadsoftware in Cisco TNP IP-Telefonen: //boingboing.net/2012/12/29/your-cisco-phone-is-listening.html.
Schadsoftware in Android-Telefonen (und in Laptops mit Windows?): Die amerikanische Tageszeitung The Wall Street Journal berichtet (in einem vor uns durch eine Bezahlschranke blockierten Artikel), dass die amerikanische Bundespolizei FBI aus der Ferne GPS und Mikrofon in Android-Telefonen und Laptops aktivieren kann (vermutlich bedeutet dies Windows-Laptops). Hier gibt’s weitere Informationen.
In einigen Motorola-Telefonen wurde Android modifiziert um persönliche Daten an Motorola zu senden.
Einige Hersteller fügen ein verstecktes allgemeines Überwachungspaket wie Carrier IQ hinzu.
Weit verbreitete proprietäre QR-Code-Scanner schnüffeln den Nutzer aus. Und dies zusätzlich zur Schnüffelei durch die Mobilfunkgesellschaft und möglicherweise durch das Betriebssystem des Smartphones.

Man sollte sich nicht von der Frage ablenken lassen, ob App-Entwickler Nutzer veranlassen „Ich stimme zu“ zu sagen. Das ist keine Entschuldigung für Schadsoftware.

Smartphone-DRM

Fehler 53: Unautorisierte Ersatzteile von Drittanbietern legen Apple iPhone 7 lahm ‑ mit extra entwickelter DRM.[5]

Der Artikel verwendet den Begriff Lock (‚Sperre‘) um DRM zu beschreiben, allerdings wird von uns digitale Handschellen bevorzugt .
Android sieht speziell für DRM unterstützte Hilfen vor.

Smartphone-Gefängnisse

Mobilgeräte mit Windows 8 sind Tyrannen. Windows 8 auf „Mobilgeräten“ stellt ein Gefängnis dar.

Smartphones als Tyrannen

Einige Mobilgeräte mit Android sind Tyrannen (obwohl jemand einen Weg fand die Beschränkung zu knacken). Glücklicherweise sind die meisten Android-Geräte nicht Tyrannen.

Anmerkungen des Übersetzungsteams:

Weiterführende Referenzen:
1. [1] Der Spiegel, iSpy, unter: spiegel.de 2013. (abgerufen 2014-05-06)
  Spiegel Online, NSA-Affäre: „Champagner!“, unter: spiegel.de 2013. (abgerufen 2014-07-04)
  Spiegel Online, NSA-Skandal: Handy-Überwachung auf dem ganzen Planeten, unter: spiegel.de 2013. (abgerufen 2014-07-04)
2. [2] Heise Online, Google kann Android-Anwendungen löschen, unter: heise.de 2008. (abgerufen 2014-07-04)
3. [3] Heise Online, Googles Einfluss auf Android-Handys, unter: heise.de 2010. (abgerufen 2014-07-04)
4. [4] Heise Online, Google löscht Android-App auf Smartphones aus der Ferne, unter: heise.de 2010. (abgerufen 2014-07-04)
5. [5] WinFuture, Error 53: Unautorisierte Ersatzteile legen Apple iPhone lahm, unter: winfuture.de 2016. (abgerufen 2017-04-12)
6. [6] Golem, Vom WLAN-Chip das Smartphone übernehmen, unter: golem.de 2017. (abgerufen 2017-04-27)
7. [7] Arp, Quiring, Wressnegger, Rieck (2017), Privacy Threats through Ultrasonic Side Channels on Mobile Devices, unter: https://www.sec.cs.tu-bs.de/pubs/2017a-eurosp.pdf. (abgerufen 2017-05-09)
8. [8] Stefan Krempl (2017), Tracking: Forscher finden Ultraschall-Spyware in 234 Android-Apps, unter: https://heise.de/-3704642. (abgerufen 2017-05-09)