Diese Übersetzung berücksichtigt möglicherweise nicht mehr die seit 2018-07-25 gemachten Änderungen der englischsprachigen Originalfassung
(die Unterschiede). Wenden Sie sich bitte unter <www-de-translators> an das Übersetzungsteam, wenn Sie mithelfen möchten diese Übersetzung zu aktualisieren.
Schadprogramme auf Mobilgeräten
Weitere Beispiele proprietärer Schadsoftware
Schadprogramm, Schadsoftware oder
engl. Malware ‑ ein Kofferwort aus
Malicious ‚bösartig‘ und
Software ‑ bezeichnet Software, die entwickelt
wurde, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen
(damit ist nicht Software gemeint, die zufällig Fehler enthält, obwohl
diese selbst auch Schaden anrichten kann oder durch Sicherheitslücken
beziehungsweise mangelnde Informationssicherheit zum Angriff auf
Rechnersysteme ausgenutzt werden kann.
Eine Sicherheitslücke stellt
einen Fehler in einer Software dar, durch den ein Programm mit
Schadwirkung oder ein Angreifer in ein Rechnersystem eindringen
kann.).
Schadsoftware und unfreie Software sind zwei verschiedene Fragestellungen. Der Unterschied zwischen freier und unfreier Software ist, ob Nutzer das Programm kontrollieren oder ob es umgekehrt ist. Es ist nicht direkt eine Frage dessen was das Programm macht wenn es ausgeführt wird. Jedoch ist unfreie Software in der Praxis oft Schadsoftware, weil das Bewusstsein des Entwicklers, dass Nutzer machtlos sein würden bösartige Funktionen zu beheben, dazu verführt, einige aufzuerlegen.
Fast alle Mobiltelefone tun ihren Nutzern zwei schwere Fehler an: ihre
Bewegungen verfolgen und Gesprächen zuhören. Deshalb nennen wir sie Stalin's
dream
.
Das Mobilfunknetz verfolgt die Bewegungen jedes Telefons.
Dies ist im Entwurf des Telefonnetzes inhärent: solange das Telefon mit dem Netz kommuniziert, gibt es keine Möglichkeit das Netz daran zu hindern seinen Standort aufzuzeichnen. Viele Länder verlangen (einschließlich der USA und der EU), dass das Netz alle Standortdaten für Monate oder Jahre speichert.
Fast jeder Telefon-Kommunikationsprozessor hat eine universelle Hintertür, der oft dazu verwendet wird alle Gespräche in der Nähe des Telefons abzuhören und zu übertragen.
Die Hintertür kann die Form von Programmfehlern haben, die 20 Jahre ungefixt blieben. Die Entscheidung, die Sicherheitslücken zu belassen, ist moralisch gleichbedeutend mit dem Schreiben einer Hintertür.
Die Hintertür befindet sich im „Modem-Prozessor“, dessen Aufgabe es ist mit dem Funknetz zu kommunizieren. Bei den meisten Telefonen steuert der Modem-Prozessor das Mikrofon. In den meisten Fällen ist es auch möglich die Software für den Hauptprozessor neu zu schreiben.
Einige Telefonmodelle sind gezielt so konzipiert, dass der Modem-Prozessor nicht das Mikrofon steuert und somit nicht die Software im Hauptprozessor ändern kann. Sie haben zwar immer noch die Hintertür, aber zumindest ist es nicht möglich das Telefon zu einem Abhörgerät umzubiegen.
Die universelle Hintertür wird offenbar auch dazu genutzt um Telefone, selbst wenn sie ausgeschaltet sind, übertragen zu lassen. Das bedeutet, deren Bewegungen werden nachverfolgt und möglicherweise funktioniert das Abhören auch.
Einige Beispiele von Schadprogrammen auf mobilen Geräten (siehe auch Schadsoftware von Apple für spezifische Schadfunktionen der Apple iDinger):
Art der Schadsoftware
- Hintertüren
- Unsicherheit
- Überwachung
- Digitale Rechte-Minderung (DRM)
‑ Funktionalitäten, entwickelt um zu beschränken, was Nutzer mit den Daten auf ihren Rechnern tun können. - Gefängnisse
‑ Systeme, die Anwendungsprogrammen Zensur auferlegen. - Tyrannen
‑ Systeme, die jedes nicht vom Hersteller „autorisierte“ Betriebssystem zurückweisen.
Hintertüren in Smartphones
-
Siehe oben für die in praktisch allen Mobiltelefonen vorhandene allgemeine universelle Hintertür, die es ermöglicht, sie in Vollzeit-Abhörgeräte umzuschalten.
Samsung Galaxy-Geräte mit Varianten des proprietären Betriebssystems Android enthalten eine Hintertür, die den Fernzugriff auf die im Gerät gespeicherten Daten ermöglicht.
Samsungs Hintertür ermöglicht Zugriff auf beliebige Dateien im System.
-
Google hat in Android eine Hintertür um Apps aus der Ferne zu löschen: sie befand sich in einem Programm namens GTalkService, der dann im Google Play-Dienst verschmolzen worden zu sein scheint.[2]
Ebenso kann Google über den Google Play-Dienst Apps zwangsweise und per Fernzugriff installieren. Dies ist zwar nicht äquivalent einer universellen Hintertür, lässt aber verschiedene schmutzige Tricks zu.[3][4]
Obwohl Googles Ausübung dieser Macht bislang nicht in böser Absicht geschah, ist der Punkt der, dass niemand solche Macht haben sollte, die auch böswillig verwendet werden könnte. Möglicherweise möchte man auch einen Sicherheitsdienst entscheiden lassen Programme per Fernzugriff zu deaktivieren, die, nach dessen Auffassung, als schädlich betrachtet werden. Aber es gibt keine Entschuldigung dafür, dem Dienst die Löschung der Programme zu erlauben, und man sollte das Recht haben zu entscheiden, wem (wenn überhaupt) man auf diese Art und Weise vertraut.
Unsicherheit in Smartphones
Diese Programmfehler sind/waren nicht beabsichtigt, so dass sie im Gegensatz zum Rest der Datei nicht als Schadsoftware zählen. Wir erwähnen sie, um die Annahme zu widerlegen, dass renommierte proprietäre Software keine schwerwiegenden Fehler hat.
-
Siri, Alexa und all die anderen Sprachsteuerungssysteme können durch Programme gekapert werden, die für Menschen unhörbar Befehle im Ultraschall abspielen.
-
Android-Geräte durch WLAN-Chips übernehmbar ‑ aufgrund schadhafter Software in Broadcoms unfreier Firmware.[6]
-
Samsung-Handys haben eine Sicherheitslücke, die einer SMS-Nachricht ermöglicht Ransomeware zu installieren.
-
Viele proprietäre Zahlungs-Apps senden persönliche Daten auf eine unsichere Art und Weise. Unerfreulichster Aspekt dieser Apps ist jedoch, dass das Bezahlverfahren nicht anonym ist.
US-Geheimdienst NSA kann sich Zugang zu iPhone- und BlackBerry-Geräten sowie zu Geräten mit Android-Betriebssystem verschaffen. Es gibt zwar kaum Details, es scheint aber, dass dies nicht über die universelle Hintertür funktioniert, von der wir wissen, dass sie nahezu alle tragbaren Telefone haben. Dies kann verschiedene ausnutzbare Programmfehler einschließen. Es gibt viele Programmfehler in der Mobilfunksoftware von Smartphones.[1]
Überwachung in Smartphones
Die App Sarahah lädt alle Telefonnummern und E-Mail-Adressen aus Adressbuch des Nutzers an Server des Entwicklers hoch.
Hinweis: Dieser Artikel bezieht sich mit Worten „Free Software“ missbräuchlich auf Null-Preis.Mehrere Mobilgeräte senden große Datenmengen nach China.
-
Facebooks App lauscht die ganze Zeit um auszuschnüffeln, was man anhört oder -guckt. Darüber hinaus können Konversationen analysiert werden, um gezielte Werbung zu kredenzen.
-
Eine Studie, in der Privatsphäre und Sicherheit von 283 Android-VPN-Apps untersucht wurden, kam zu dem Schluss, dass trotz der von den meisten VPN-Apps gegebenen Versprechen bezüglich Privatsphäre, Sicherheit und Anonymität „Millionen Nutzer unbewusst schlechten Sicherheitsgarantien und missbräuchlichen Praktiken, die von VPN-Apps verursacht werden, unterliegen könnten.“
Im Folgenden eine unvollständige Übersicht proprietärer VPN-Apps aus dem Forschungsbericht, welche Nutzer verfolgen und die Privatsphäre verletzen:
- SurfEasy VPN
- Enthält Tracking-Bibliotheken wie NativeX und Appflood, bestimmt um Nutzer zu verfolgen und gezielte Werbung anzuzeigen.
- sFly Network Booster
- Erfordert bei der Installation die Berechtigungen für READ_SMS und SEND_SMS, somit vollen Zugriff auf Textnachrichten.
- DroidVPN und TigerVPN
- Erfordert bei der Installation die Berechtigungen für READ_LOGS zum Lesen von Protokollen für Apps Dritter und auch Kernsystemprotokollen. TigerVPN-Entwickler bestätigten dies.
- HideMyAss
- Sendet Datenverkehr an LinkedIn. Darüber hinaus werden detaillierte Protokolle gespeichert und auf Wunsch an die britische Regierung übergeben.
- Hotspot Shield VPN Service
- Fügt JavaScript-Code in HTML-Dokumente ein, die an Besucher zurückgegeben werden. Das erklärte Ziel der JS-Injektion ist die Anzeige von Werbung. Nutzt etwa 5 Tracking-Bibliotheken. Außerdem leitet es das Besucherdatenaufkommen via Valueclick.com (Internetwerbung) um.
- WiFi Protector VPN
- Fügt JavaScript-Code in HTML-Dokumente ein und nutzt ebenso etwa 5 Tracking-Bibliotheken. Entwickler haben bestätigt, dass die Nicht-Premium-Version der App JavaScript-Injektion für Tracking und Anzeigen von Werbung darstellt.
-
Eine Studie aus 2015 ergab, dass 90 % der Top-Rankings kostenloser proprietärer Android-Apps erkennbare Tracking-Bibliotheken enthielten. Für die nicht kostenlosen proprietären Apps waren es nur 60 %.
Der Artikel beschreibt verwirrenderweise kostenlose Apps als „frei“, tatsächlich aber sind die meisten keine Freie Software. Auch wird das hässliche Wort „monetarisieren“ gebraucht. Ein guter Ersatz dafür ist „ausbeuten“; nahezu immer trifft es den Nagel auf den Kopf.
-
Forscher finden laut einer aktuellen Studie[7] mindestens 234 Android-Spähprogramme, die Nutzer über verschiedene Geräte hinweg mit „Ultraschall-Leuchtfeuer“ verfolgen.[8]
-
Faceapp scheint eine Menge zu überwachen und zu beurteilen, wie viel Zugang es auf persönliche Daten im Gerät einfordert.
-
Gekoppelte Android-Apps können zusammenarbeiten, um persönliche Nutzerdaten an Server zu übertragen. Eine Studie berichtet über Zehntausende von zusammenspielenden Kopplungen.
-
Google Play sendet App-Entwicklern vorsätzlich persönliche Details von Nutzern, die die App installieren.
Nutzer lediglich nach der „Zustimmung“ zu fragen, ist nicht genug, um Aktionen wie diese zu legitimieren. An diesem Punkt haben die meisten Nutzer aufgehört, die „Liefer- und Zahlungsbedingungen“ zu lesen, die klarstellen, was sie da „zustimmen“. Google sollte gesammelte Informationen offen und ehrlich angeben, anstatt sie in einer vage formulierten EULA zu verstecken.
Allerdings müssen ‑ um die Privatsphäre der Menschen wirklich zu schützen ‑ Google und andere Unternehmen schon vorher daran gehindert werden, diese persönliche Information überhaupt erst zu bekommen!
-
Google Play (eine Android-Komponente) verfolgt sämtliche Bewegungen der Nutzer ‑ ohne Erlaubnis einzuholen!
Selbst wenn Google Maps und Standortverfolgung deaktiviert sind, muss Google Play selbst deaktiviert werden, um auch das Verfolgen vollständig zu beenden. Dies ist ein weiteres Beispiel für unfreie Software, die vorgibt Anweisungen des Nutzers zu beachten, obwohl sie tatsächlich etwas anderes tut. So etwas wäre mit freier Software fast undenkbar.
-
Verizon kündigte eine explizit das Einverständnis erfordernde proprietäre Such-App an, die auf einem ihrer angebotenen Telefonmodelle vorinstallierten. Die App gibt Verizon dieselben Informationen über die Suche der Nutzer, die Google normalerweise bekommt, wenn sie deren Suchmaschine benutzen.
Derzeit wird die App auf nur einem Telefonmodell vorinstalliert, und Nutzer müssen explizit ihr Einverständnis erklären bevor die App einsatzfähig ist. Wie dem auch sei, die App bleibt ein Spionageprogramm ‑ „optional“ oder nicht.
Meitu Fotobearbeitungs-App sendet Nutzerdaten an chinesisches Unternehmen.
-
Eine halbblinde Sicherheitsrezension einer Verfolger-App stellte fest: eklatante Fehler erlaubten jedermann in den persönlichen Nutzerdaten herumzuschnüffeln.. Die Rezension versäumt jedoch die Besorgnis zum Ausdruck zu bringen, dass die App selbst personenbezogene Daten an einen Server sendet, wo der „Entwickler“ sämtliche Daten abgreift. Dieser „Dienst“ ist für (gutgläubige) Trottel!
Der Server hat sicherlich eine „Datenschutzrichtlinie“, und sie ist sicher wertlos, da es beinahe alle sind.
Apps mit enthaltener Symphony-Überwachungssoftware schnüffeln in Echtzeit aus, Radio- und Fernsehsendungen oder was auch immer ausgeschnüffelt werden soll. Auch auf was Nutzer auf verschiedenen Internetpräsenzen wie Facebook, Google+ und Twitter schreiben.
Mehr als 73 % und 47 % der populärsten Android- und iOS-Apps teilen persönliche sowie Verhaltens- und Positionsinformationem ihrer Nutzer mit Dritten.
In 500 der beliebtesten gratis Android-Apps wurde „kryptische Kommunikation“, ohne Bezug auf App-Funktionalität gefunden.
Der Artikel hätte diese Apps jedoch nicht als „free“ beschreiben dürfen: sie sind keine „freie“ Software. Die eindeutigste Möglichkeit Null-Preis bzw. ohne dass etwas dafür bezahlt werden muss auszudrücken ist gratis.
Der Artikel setzt voraus, dass übliche Analyseinstrumente legitim seien, aber ist das berechtigt? Softwareentwickler haben kein Recht zu analysieren, was Benutzer tun oder wie. „Analyse“-Instrumente, die ausschnüffeln, sind genauso falsch wie jedes andere ausschnüffeln.
Viele proprietäre Mobilgeräte-Applikationen melden, welche anderen Applikationen eine Nutzerin oder Nutzer installiert hat. Twitter tut dies auf eine Weise, die zumindest erkennbar und optional ist. Nicht so schlimm wie das, was andere tun.
Smartphones mit GPS senden per Fernzugriff auf Befehl ihren GPS-Standort, und Benutzer können dies nicht unterbinden: //www.aclu.org/government-location-tracking-cell-phones-gps-devices-and-license-plate-readers (die USA sagen, sie werden letzten Endes verlangen, dass alle neuen mobilen Telefone GPS haben).
Schadsoftware in Cisco TNP IP-Telefonen: //boingboing.net/2012/12/29/your-cisco-phone-is-listening.html.
Android-Telefone (und Notebooks mit Windows?): Die amerikanische Tageszeitung The Wall Street Journal berichtet (in einem vor uns durch eine Bezahlschranke blockierten Artikel), dass die amerikanische Bundespolizei FBI aus der Ferne GPS und Mikrofon in Android-Telefonen und Notebooks aktivieren kann (vermutlich bedeutet dies „Windows-PCs“). Hier gibt’s weitere Informationen.
In einigen Motorola-Telefonen wurde Android modifiziert um persönliche Daten an Motorola zu senden.
Einige Hersteller fügen ein verstecktes allgemeines Überwachungspaket wie Carrier IQ hinzu.
Weit verbreitete proprietäre QR-Code-Scanner schnüffeln den Nutzer aus. Und dies zusätzlich zur Schnüffelei durch die Mobilfunkgesellschaft und möglicherweise durch das Betriebssystem des Smartphones.
Man sollte sich nicht von der Frage ablenken lassen, ob App-Entwickler Nutzer veranlassen „Ich stimme zu“ zu sagen. Das ist keine Entschuldigung für Schadsoftware.
Smartphone-DRM
-
Google ermöglicht Android-Apps nun zu erkennen, ob ein Gerät entsperrt worden ist, und wenn ja, die Installation zu verweigern.
[Aktualisierung] Google änderte Android absichtlich, damit Apps entsperrte Geräte erkennen und das Ausführen darauf verweigern können.
-
Fehler 53: Unautorisierte Ersatzteile von Drittanbietern legen Apple iPhone 7 lahm ‑ mit extra entwickelter DRM.[5]
Der Artikel verwendet den Begriff Lock (‚Sperre‘) um DRM zu beschreiben, allerdings wird von uns digitale Handschellen bevorzugt .
Smartphone-Gefängnisse
Smartphones als Tyrannen
Einige Mobilgeräte mit Android sind Tyrannen (obwohl jemand einen Weg fand die Beschränkung zu knacken). Glücklicherweise sind die meisten Android-Geräte nicht Tyrannen.
Anmerkungen des Übersetzungsteams:
Weiterführende Referenzen:
- [1] Der Spiegel, iSpy,
unter: spiegel.de 2013. (abgerufen 2014-05-06)
Spiegel Online, NSA-Affäre: „Champagner!“, unter: spiegel.de 2013. (abgerufen 2014-07-04)
Spiegel Online, NSA-Skandal: Handy-Überwachung auf dem ganzen Planeten, unter: spiegel.de 2013. (abgerufen 2014-07-04) - [2] Heise Online, Google kann Android-Anwendungen löschen, unter: heise.de 2008. (abgerufen 2014-07-04)
- [3] Heise Online, Googles Einfluss auf Android-Handys, unter: heise.de 2010. (abgerufen 2014-07-04)
- [4] Heise Online, Google löscht Android-App auf Smartphones aus der Ferne, unter: heise.de 2010. (abgerufen 2014-07-04)
- [5] WinFuture, Error 53: Unautorisierte Ersatzteile legen Apple iPhone lahm, unter: winfuture.de 2016. (abgerufen 2017-04-12)
- [6] Golem, Vom WLAN-Chip das Smartphone übernehmen, unter: golem.de 2017. (abgerufen 2017-04-27)
- [7] Arp, Quiring, Wressnegger, Rieck (2017), Privacy Threats through Ultrasonic Side Channels on Mobile Devices, unter: https://www.sec.cs.tu-bs.de/pubs/2017a-eurosp.pdf. (abgerufen 2017-05-09)
- [8] Stefan Krempl (2017), Tracking: Forscher finden Ultraschall-Spyware in 234 Android-Apps, unter: https://heise.de/-3704642. (abgerufen 2017-05-09)
- [1] Der Spiegel, iSpy,
unter: spiegel.de 2013. (abgerufen 2014-05-06)