Aktuelles, Branche, Studien - geschrieben von dp am Samstag, Mai 28, 2016 14:46 - noch keine Kommentare
Warnung vor Infizierung von Smartphones via USB-Ladevorgang
KASPERSKY-Studie zeigt Lücken für mobile Heim- und Unternehmensanwender auf
[datensicherheit.de, 28.05.2016] KASPERSKY lab ist in einer Untersuchung der Frage nachgegangen, wie sicher frei verfügbare Smartphone-Ladestationen an Flughäfen, in Bars oder im öffentlichen Nahverkehr sind. Konkret ging es u.a. darum, ob auf dem Gerät gespeicherte Daten dabei nach außen gegeben werden. Im Rahmen einer Machbarkeitsstudie ist man nach eigenen Angaben zu dem Ergebnis gekommen, dass Smartphones während des Ladevorgangs per USB-Verbindung kompromittiert werden können.
Übermittlung einer Reihe von Daten
Im ersten Schritt sei eine Reihe von Smartphones unter verschiedenen „Android“– und „iOS“-Betriebssystemen dahingehend untersucht worden, welche Daten das Gerät während des Ladevorgangs mit einem PC oder Mac extern preisgibt. Die Testergebnisse zeigen demnach Folgendes: Die mobilen Geräten offenbarten – abhängig von Gerät und Anbieter – dem Computer eine Reihe an Daten, wie Gerätename, Hersteller, Gerätetyp, Seriennummer, Firmware-und Betriebssysteminformationen, Dateisystem/Dateiliste sowie die elektronische Chip-ID.
Das Sicherheitsproblem sei somit, dass Smartphones – als ständiger Begleiter – so für Dritte interessant würden, die an der Sammlung solcher Daten interessiert sein könnten, um diese im Anschluss für sich zu nutzen.
Entscheidungsträger großer Unternehmen als lohnendes Ziel
Die Sicherheitsrisiken seien offensichtlich: Nutzer könnten über die IDs ihrer Geräte verfolgt und das Mobiltelefon könnte heimlich infiziert werden. Entscheidungsträger großer Unternehmen könnten so leicht zum Ziel professioneller Hacker werden, warnt Alexey Komarov, Sicherheitsforscher bei KASPERSKY lab. „Die Hacker müssen nicht einmal hochqualifiziert sein, um eine solche Attacke auszuführen, denn alle erforderlichen Informationen sind im Internet leicht zu finden.“
Smartphone ohne Verwendung eines Schadprogramms kompromittiert
Auf der „Black-Hat“-Konferenz 2014 sei bereits gezeigt worden, dass man ein mit einer fingierten Ladestation verbundenes Smartphone mit einem Schädling infizieren könne. Experten von KASPERSKY lab hätten das Szenario reproduziert. Dazu reichten ein gewöhnlicher PC, ein Standard-Mikro-USB-Kabel sowie einige bestimmte Befehle (AT-Befehlssatz). Damit könne (per „Re-Flash“) heimlich eine sogenannte „Root-App“ auf einem Smartphone installiert werden. Das Smartphone werde also ohne die Verwendung eines Schadprogramms kompromittiert.
Warnende Beispiele „Roter Oktober“ und „Hacking Team“
Obwohl bisher keine Informationen über aktuelle Infizierungsvorfälle mit fingierten Ladestationen bekannt seien, sei es bereits in der Vergangenheit zu Datendiebstählen von mit Computern verbundenen mobilen Geräten gekommen. Diese Technik sei beispielsweise bei der Cyber-Spionagekampagne „Roter Oktober“ sowie dem „Hacking Team“ verwendet worden. Beide Bedrohungsakteure hätten einen Weg gefunden, den vermeintlich sicheren Datenaustausch zwischen Smartphone und PC für sich auszunutzen.
Empfehlungen von KASPERSKY lab:
Nutzer sollten zur Minimierung des Risikos eines möglichen Angriffs über unbekannte Ladestationen und nicht vertrauenswürdige Computer
- zum Laden des mobilen Endgeräts nur vertrauenswürdige USB-Ladestationen und Computer verwenden,
- das mobile Geräte durch ein Passwort oder über die Erkennung des Fingerabdrucks schützen und es während des Ladevorgangs nicht entsperren,
- Verschlüsselungstechnologien und sichere Container (geschützte Bereiche auf dem mobilen Endgerät, die genutzt werden, um sensible Daten zu isolieren) nutzen,
- mobile Geräte sowie PCs und Macs mit Hilfe einer Sicherheitslösung wie z.B. „Kaspersky Total Security Multi-Device“ für Privatanwender oder „Kaspersky Mobile Security“ für Unternehmensanwender schützen.
Weitere Informationen zum Thema:
SECURELIST, 26.05.2016
Wired Mobile Charging – Is it Safe?
Aktuelles, Experten, Studien - Mrz 27, 2023 18:41 - noch keine Kommentare
eco warnt: Deutsche weiterhin Backup-Muffel
weitere Beiträge in Experten
- Umstellung auf die Sommerzeit 2023: Internationale Internetverwaltung wacht über richtige Uhrzeit
- Überwachungsbedürftige Anlagen: Besserer Schutz vor Cyber-Angriffen möglich und nötig
- Datensicherheit wie Gesundheit: Alle wollen sie – aber möglichst ohne Anstrengung
- Ende einer Ära: Datenschutz-Pionier Spiros Simitis gestorben
- Wenn die Verfügbarkeit zum Fluch zu werden droht: E-Mail-Flut in beruflichen Postfächern
Aktuelles, Branche, Studien - Mrz 28, 2023 21:29 - noch keine Kommentare
BYOD-Risiken so hoch wie nie: Mobile Phishing nimmt zu
weitere Beiträge in Branche
- NIST und ISO/IEC: Stärkung der Compliance- und Sicherheitslage in Unternehmen
- Ransomware: Jede Lösegeld-Zahlung an Angreifer finanziert neun zukünftige Attacken
- Palo Alto Networks: Warnung vor neuem Ransomware-Stamm Trigona
- Cloud Bursting: Vor- und Nachteile für Betrieb und IT-Sicherheit
- ChatGPT4: Sicherheitsanalyse zeigt Szenarien für beschleunigte Cyber-Kriminalität
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren