Aktuelles, Branche - geschrieben von dp am Freitag, September 11, 2020 22:23 - ein Kommentar
Android 11: Profil-Trennung nicht hinreichend für Sicherheit
Bei Android 11 ist die Segregation ein Kern-Feature des Betriebssystems geworden
[datensicherheit.de, 11.09.2020] Das Google-Betriebssystem „Android“ für Mobilgeräte sei weltweit in Millionen von Smartphones integriert – sowohl in privaten als auch in Firmen-Geräten. Entsprechend stehe es dauerhaft unter Beschuss durch Hacker. Nach eigenen Angaben haben Sicherheitsforscher der Check Point® Software Technologies Ltd. „Android 11“ nun genau unter die Lupe genommen und dabei festgestellt, „dass die Möglichkeit, zwei getrennte Profile auf einem Smartphone zu etablieren, eines für berufliche und eines für private Zwecke des Mitarbeiters, zwar eine gute Idee ist, jedoch nicht so viel Sicherheit bietet, wie gedacht“.
Christine Schönig: Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software!
BYOD mit Android 11: Keine umfängliche Sicherheit für Unternehmen
Das Prinzip, auf einem mobilen Endgerät zwei getrennte Profile zu installieren, werde seit längerer Zeit genutzt, vor allem von Unternehmen, welche die Eingliederung privater Endgeräte in das Unternehmensnetzwerk erlauben (BYOD: Bring your own device). Dabei werde das Unternehmensprofil durch die betriebliche IT-Abteilung überwacht und gewartet. Entsprechend seien Zugriffsmöglichkeiten, Auswahl von Applikationen und dergleichen in der Hand der Firma und strikt geregelt.
Mit „Android 11“ sei diese Segregation nun ein Kern-Feature des Betriebssystems geworden. Allerdings garantiere die Abtrennung der Nutzerprofile keine umfängliche Sicherheit für das Unternehmen. „Wie die Sicherheitsforscher von Check Point feststellen mussten, reicht eine Malware-Infektion auf der privaten Seite des Mobilgerätes, um auch das Unternehmensprofil zu kompromittieren.“
Bei Kontrolle über Android’s Accessibility Services können diese missbraucht werden
Erlangten Angreifer beispielsweise die Kontrolle über „Android’s Accessibility Services“ (AAS), welche verschiedene Funktionen für behinderte Menschen zur Verfügung stellten, um die Bedienung des Geräts zu vereinfachen, so könnten diese missbraucht werden, um das Unternehmensprofil auszuspähen. Mittels dieser Funktionen ließen sich zudem Eingaben in den Bildschirm auslesen und somit Zugangsdaten ergattern – über die Profil-Grenze hinweg.
Daher sei es unabdingbar, neben der Profil-Trennung zusätzliche Sicherheitsvorkehrungen zu treffen, betont Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH. Die Abgrenzung von privaten und beruflichen Profilen sei wichtig und komme den Mitarbeitern entgegen – allerdings sei sie mitnichten sicher. Schönig: „Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software, die den Missbrauch von Funktionen und das unberechtigte Abfragen von Daten verhindert. Zusammen bilden die Funktionen des Betriebssystems und die externen Sicherheitslösungen dann eine umfangreiche, echte Absicherung des Smartphones.“
Weitere Informationen zum Thema:
Check Point SOFTWARE TECHNOLOGIES LTD., Yaelle Harel
Using Android Enterprise? Learn how to close security gaps for the different deployment models
datensicherheit.de, 07.09.2020
Check Point bringt Anti-Debug-Enzyklopädie gegen Malware heraus
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren