Datensicherheit bei Smartphones

Anzeige

Ich hab gerade mal Droidsheep ausprobiert und war ziemlich baff, welche Daten sich alle aus einem Netzwerk ohne Probleme selbst für einen Laien auslesen lassen. Accountdaten von Facebook, Ebay und anderen, bei denen die Verbindungen nicht über SSL verschlüsselt laufen. Das ist schon ziemlich erschreckend.

Weil sich ja viele in Firmennetzwerke, öffentliche Netzwerke an Flughäfen etc. einbinden, sollte sich jeder darüber bewusst sein, wie leicht persönliche Daten ausgelesen werden können.

Das nur mal als Warnung an alle, die sich sorglos in fremde Netzwerke einbinden. Mit Programmen wie droidsheep, FaceNiff und ähnlichen Programmen/Apps kann quasi jeder der ein Smartphone mit Rootzugang und solch eine App drauf hat, eure Daten problemlos auslesen. Bitte denkt daran, wenn ihr euch das nächste mal in ein Netzwerk im Büro, im Internetcafe, am Flughafen oder sonstwo einbindet.

 

AW: Datensicherheit bei Smartphones

Normalerweise sollte der Login bei Facebook doch über HTTPS laufen. Wenn man die entsprechende Einstellung wählt, wird auch der Rest der Sitzung über HTTPS abgesichert.

 

AW: Datensicherheit bei Smartphones

Und wo liegt das Passwort? Richtig, im Cache auf dem Smartphone in der Browser-App. Damit man es nicht ständig eintippen muss. (Anmeldedaten speichern? ja!)

Sind diese Daten verschlüsselt? Nö, macht zuviel Arbeit. Hinzukommt, dass die App-Entwickler gar nicht mehr wissen, was Verschlüsselung überhaupt ist.

 

AW: Datensicherheit bei Smartphones

Hier geht es doch um das Abhören von ungesicherten WLAN Verbindungen.

 

AW: Datensicherheit bei Smartphones

Ach, diverse "Backup" oder "Cloud"-Apps transportieren schon ungesichert automatisch und ständig wiederholend alle Passwörter übers WLAN nach Hause.

 

Hopper, das ist einfach nicht der Punkt. Hier geht es z.B. um die Anmeldung bei Facebook, die man gemäß Eingangsposting mitlesen kann.

 

AW: Datensicherheit bei Smartphones

Das ist diese Geschichte, die bei Stern-TV schon mal thematisiert worden ist, wie ich zwischenzeitlich gelesen hab. Dabei geht es um die Cookies, die abgefangen werden und mit denen man sich einen Zugang bspw. zu Ebay-Konten erschleichen kann, was ich sofort und problemlos geschafft hab. Man kann entweder direkt und eingeloggt die Website besuchen oder sich den Cookie zur späteren Verwendung speichern oder per Mail verschicken.

Bei Facebook weiß ich es nur aus diversen Quellen aus dem Internet. Ich konnte es selber nicht verifizieren, weil ich keinen Facebook-Account habe und nicht extra einen anlegen wollte.

 

AW: Datensicherheit bei Smartphones

Von der Website des Programmierers:

DroidSheep | Simple OpenSource Session hijacking on Android devices

Ich poste den Link mal hier, weil es ohnehin keine herunterladbare Binary gibt, man also selbst kompilieren muss, und weil die Leute, die dazu dann imstande wären, den Link auch problemlos selbst finden würden. Der Link stellt somit IMO keine Gefahr dar, dass irgendwelche Leute das mal nur eben so benutzen.

 

AW: Datensicherheit bei Smartphones

All meine Email-Accounts werden nur verschlüsselt abgefragt, also mit SSL oder TLS Verschlüsselung. Sowohl IMAP als auch SMTP. Das sollte doch helfen, oder?

 

AW: Datensicherheit bei Smartphones

SSL hilft auf jeden Fall. Wie geschrieben, dass Problem sind die Cookies bei Webmail-Anbietern, eBay, Facebook, Foren usw.

Aber auch so, ohne das solche sensiblen Daten übermittelt und ggf. gecaptured weder, kann man sich genau die Seiten ansehen, die gerade angesurft worden sind. Besucht man bspw. diese Seite hier und verfasst einen Beitrag, hat der Mitschneider der Verbindung gleich Benutzernamen und Passwort über den Cookie.