Mobile Security

Warum Sie Ihrem Smartphone nicht mehr trauen können

Kommentar  von Mike Elgan
Eine völlig neue Klasse von Sicherheitslücken entsteht auch auf Ihrem Smartphone. Schuld sind Hersteller, die absichtlich Schwachstellen schaffen und die Kunden darüber im Unklaren lassen.

Richtig gelesen. Auch Ihr Smartphone könnte "Geheimfeatures" enthalten, die Sie angreifbar machen. Dabei geht es allerdings nicht um versehentlich entstandene Bugs, die von Hackern ausgenutzt werden. Es ist ein völlig neues Phänomen, von dessen Existenz wir erst vor einigen Wochen erfahren haben. Es geht dabei um Design-Entscheidungen, die von Smartphone-Herstellern getroffen wurden und die dafür sorgen, dass Ihr Smartphone Dinge im Verborgenen tut, die Ihre Sicherheit gefährden.

Sie können Ihrem Smartphone nicht mehr trauen. Wir sagen Ihnen warum.
Foto: GaudiLab - shutterstock.com

Konkret geht es um Google, Apple und OnePlus, die - wie kürzlich bekannt wurde - absichtliche Sicherheitslücken in ihre Telefone einbauen, die kein User je vermuten würde. Das geht soweit, dass die Smartphones dieser Hersteller sogar dann potenziell unsichere Dinge "tun", wenn ihr Besitzer aktiv Maßnahmen ergreift, um genau das zu verhindern. Natürlich ist dabei nicht unbedingt von böser Absicht auszugehen: Meist ist das Ziel der Hersteller, ihr Gerät noch leistungsfähiger oder komfortabler bedienbar zu machen. Dabei jedoch die Kunden komplett außen vor zu lassen begründet ein neues Level an "Customer Disrespect".

Google is watching you!

Wie Quartz Media berichtet, haben Geräte mit Android-Betriebssystem über die letzten elf Monate die Lokationsdaten ihrer Nutzer an Google-Server übermittelt. Und zwar auch, wenn die Lokalisierungsfunktion aktiv abgeschaltet wurde, keine Apps in Benutzung waren oder keine SIM-Karte installiert war. Ermittelt wurden diese Daten über die Mobilfunkzellenidentifikation (Cell-ID).

Ein Sprecher des Konzerns ließ uns gegenüber dazu verlauten, dass Google die Cell-ID-Daten als zusätzliches Signal verwende, "um die Geschwindigkeit und Performance seiner Kommunikationsservices zu verbessern." Dabei habe man diese Daten nicht benutzt oder gespeichert und es habe keine Verbindung zu Lokationsdiensten, zielgerichteter Werbung oder anderen Funktionen dieser Art bestanden. Laut Google habe man damit ausschließlich das Ziel verfolgt, zu einem späteren Zeitpunkt Performance-Optimierungen vorzunehmen.

Aufgrund der nun entstandenen Kontroverse will der Konzern die Aggregation von Cell-ID-Daten in den kommenden Wochen komplett einstellen. Dazu wird übrigens kein Software Patch oder Download benötigt. Zur Zukunft dieses Features hat sich Google bislang nicht geäußert.

Grundsätzlich war es die richtige Entscheidung von Google, nach einer Verbesserung der Performance seiner Services zu streben. Die Cell-ID-Daten allerdings ohne vorherige Zustimmung oder Aufklärung der User einzusammeln, war hingegen die falsche.

Apples Control-Center-Fail

Wenn Sie in den Einstellungen Ihres iPhones die Wifi- und Bluetooth-Funktion abschalten, bleiben diese solange deaktiviert, bis Sie sie wieder aktivieren. So erwarten es die User und genau so funktioniert es auch. Das könnte Nutzer dazu verleiten zu glauben, über das iOS Control Center ginge das ebenso. Tut es aber nicht. Zumindest nicht seit iOS 11.

Denn wer die neueste Version von Apples mobilem Betriebssystem hat und über das Control Center die Funktion für Wireless LAN und/oder Bluetooth deaktiviert, muss damit leben, dass das iPhone sich automatisch mit neuen Hotspots oder Bluetooth Devices verbindet, sobald diese in Reichweite kommen. Der einzige Weg, die Funktionen tatsächlich und dauerhaft zu deaktivieren, führt über die Einstellungen. Die Deaktivierung über das Control Center kommt hingegen mehr einer Illusion gleich.

Das Problem dabei: iPhone-Nutzer müssen davon ausgehen, dass auch die Schieberegler im Control Center eine "dauerhafte Wirkung" entfalten - schon alleine deshalb, weil es in jeder vorigen iOS-Version so gehandhabt wurde. Schließlich unterscheiden sich die Funktionen in Control Center und Einstellungen auch rein äußerlich nicht voneinander. Apple hat seine Nutzer auf einer Support-Seite zwar über die Änderung informiert, allerdings wurde die Information auch nicht besonders hervorgehoben. Der Großteil der iPhone-Nutzer dürfte gerade jetzt zum ersten Mal von diesem Umstand erfahren.

Dazu kommt noch: Das iOS Control Center ist eigentlich dazu gedacht, gängige Funktionen schnell und komfortabel ein- und ausschalten zu können und Zubehör wie den Apple Pencil oder die Apple Watch möglichst komfortabel mit dem Apple-Smartphone koppeln zu können. Eine ziemlich gute Sache also. Die leider erheblich an Faszination einbüßt, wenn man bedeutsame Unterschiede in der Bedienung nicht ausreichend für die User erkennbar macht.

Der EngineerMode bei OnePlus

Vor einigen Wochen wurde bekannt, dass der chinesische Smartphone-Hersteller OnePlus seine Geräte mit einer vorinstallierten App ausgeliefert hat, über die man die Devices rooten kann. Dabei handelt es sich um die App "EngineerMode" - eine Art Diagnose-Software, die oft auf Prototypen oder Vorserienmodellen zu finden ist. Auf Modellen, die für den Verkauf bestimmt sind, wird Software dieser Art für gewöhnlich nicht installiert.

Die App kann über dreierlei Vorgehen aktiviert werden: mit einem Dialer-Kommando, dem Android Activity Launcher oder über die Kommandozeile. Das Root-Access-Feature der Applikation war dabei zwar Passwort-geschützt - allerdings so schlecht, dass dieses schnell im Netz die Runde machte. Um die App zu kompromittieren, ist allerdings auch ein physischer Zugang zum Gerät notwendig.

Auch deswegen bezeichnete OnePlus das Ganze in einem Blogpost wohl als "keine größere Sicherheitslücke". Dennoch will das Unternehmen die Software über ein Update entfernen.

Die "EngineerMode"-App ist offensichtlich eine modifizierte Qualcomm-Applikation und es gibt Hinweise darauf, dass ähnliche Software unter anderem auch auf den Smartphones von Asus und Xiaomi aktiv ist:

Zwar erscheint es grundsätzlich möglich, dass ein Smartphone-Hersteller ein Gerät ausliefert, ohne zu wissen, welche Software darauf installiert ist - allerdings bleibt mindestens ein fader Beigeschmack. Wahrscheinlich war es eher so, dass man sich bei OnePlus bewusst entschieden hat, die Software auf den Geräten zu belassen, um Zeit zu sparen. Schließlich hätte sonst eine Deinstallation auf allen Devices gedroht.

Wenn die Einschätzung von OnePlus zutrifft, dass die App keine Gefahr für seine Kunden darstellt, war das auch die richtige Entscheidung. Nur hätte man die Kunden im Vorfeld auch über die Software und ihre Funktion informieren müssen.

Erfolg frisst Vertrauen?

Allen drei Fällen ist eines gemein: Die Smartphone-Hersteller haben durch ihr Schweigen den Nutzern ein Stück weit die Kontrolle über ihre Geräte geraubt. Dabei verfuhren die Konzerne offensichtlich nach dem Grundsatz: "Was der Kunde nicht weiß, macht den Kunden nicht heiß".

Eine Stellungnahme ließen Google und OnePlus erst folgen, nachdem ihnen Spezialisten auf die Schliche gekommen waren. Das wirft natürlich die Frage auf, was sonst noch so im Verborgenen geschieht. Und schafft Misstrauen. Darüber hinaus zeigen diese Beispiele mangelnden Respekt der Konzerne gegenüber ihren eigenen Kunden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation Computerworld.