«Das Programm stahl Daten aus dem Adressbuch»
Von Reto Knobel. Aktualisiert am 09.12.2009 7 Kommentare
Gläserne Nutzer: Einige iApps übermitteln Telefonnummern des iPhones an die Hersteller. (Bild: Maclife.de)
Interaktiv-Box
Links
Dossiers
Artikel zum Thema
Stichworte
SwissquoteExklusiver Trading-Partner
Vor Kurzem machte der Schweizer Softwareingenieur Nicolas Seriot mit einem Vortrag vor iPhone-Entwicklern in Genf auf die Spyware-Gefahr für iPhone-Besitzer aufmerksam. Der 31-Jährige warnte, dass sich auch in Apples (AAPL 562.29 -0.54%) App Store Programme befinden, die persönliche Daten ausspionieren. Tagesanzeiger.ch/Newsnet hat sich mit dem iPhone-Experten unterhalten.
Nicolas Seriot, Sie haben die Apple-Community aufgeschreckt mit der Warnung, dass auch nicht-gehackte Apple-Handys nicht mehr sicher sind. Wie kommen Sie zu dieser Behauptung?
Stellen Sie sich vor, Sie haben ein Tennis-Game auf Ihr Smartphone heruntergeladen, aber kein normales Spiel, sondern ein sogenanntes Rogue Game, also ein «Schurken-Programm», das Ihre persönlichen Daten sammelt und diese an einen Remote-Server schickt. App-Prüfer testen eingereichte Programme und weisen sie zurück, wenn sie technisch ungenügend sind oder inhaltlichen und rechtlichen Kriterien nicht entsprechen. Reviewer können aber leicht hinters Licht geführt werden. Sie stehen unter grossem Druck...
... wöchentlich werden etwa 10'000 Applikationen zur Prüfung eingesandt.
Genau. Ausserdem gibt es so viele technische Tricks, Spyware in einem harmlosen Game zu verstecken, und die cleversten dieser Programme werden zweifellos durch den App-Filter «rutschen». Ausserdem verzögern Cyberkriminelle wahrscheinlich die Aktivierung des Spyware-Codes oder starten diese abhängig von der geografischen Position des Nutzers. Ihre persönlichen Daten werden wahrscheinlich verschlüsselt, so dass die Prüfer bei Apple im Glauben gelassen werden, das Spiel übermittle nur die High Scores.
Klingt alles sehr theoretisch.
Von wegen. Es mussten schon einige Applikationen aus dem App-Store entfernt werden. Das Puzzle-Spiel «Aurora Faint» stahl Daten aus dem Adressbuch, wer die Verkehrs-App «Mogo Road» herunterlud, bekam Werbeanrufe auf das iPhone. Games des Herstellers Storm8 spähten die Handynummer ohne Wissen der Nutzer aus. «Dragon Mobile», das erst gerade erschienen ist, lädt die Namen in Ihrem Adressbuch hoch.
Was kann Spyware nicht?
Die meisten Ihrer persönlichen Daten auf dem Smartphone sind gut geschützt, Spyware kann keine Mails oder SMS lesen. Aber Sicherheitslöcher auf dem iPhone existieren. So können Schurkenprogramme etwa die letzten Google-Abfragen auf dem Safaribrowser, die letzten angeschauten Youtube-Videos, die persönliche Mailadresse und Telefonnummer auskundschaften. Und, wie schon erwähnt, alle Kontakte in Ihrer Adressliste. Das ist einfach viel zu verlockend für Marketingleute, Spammer, Diebe, eifersüchtige Ehemänner oder Polizeibehörden.
Aber von konkreten Betrugsfällen war bislang nicht die Rede.
iPhone-Sicherheit ist ein heisses Thema, der Konkurrenzkampf unter den Entwicklern ist riesig und der Markt in einem starken Wachstum.
Das Problem wird meines Erachtens also nicht überbewertet. Allein im November griffen vier verschiedene Würmer Apple-Handys an, die zuvor modifiziert worden sind. Meine Untersuchungen zeigen, dass auch Nutzerdaten auf iPhones ohne Jailbreak, also auf ganz normalen Apple-Handys – gestohlen werden können.
Unterschätzt Apple das Problem?
Andy Hertzfeld, einer der Macintosh-Väter, hat einmal gesagt: «Engineering ist die Kunst, innerhalb von Auflagen zu arbeiten.» Als Entwickler kann ich das nur bestätigen. Apple muss erstens vermeiden, Nutzer mit zu vielen Sicherheitsoptionen zu ärgern und zweitens muss das Unternehmen Applikationen möglichst schnell mit vertretbarem Aufwand prüfen.
Und das alles gleichzeitig.
Das Betriebssystem iPhone OS ist das Resultat dieser sich widersprechenden Ansprüche. Ich glaube nicht, dass Apple Sicherheitsthemen vernachlässigt, aber sie managen dieses Problem auf unangemessene Weise.
Was meinen Sie damit?
Apple scheint einfach zu hoffen, dass die Lücken nicht entdeckt werden. Aber Sie können sicher sein, dass – wenn mir dies innerhalb weniger Tage gelungen ist – Spammer und die Mafia schon sehr viel aggressivere Lösungen entwickelt haben. Apples Haltung ist Sicherheit durch Unklarheit – und das ist schlecht. Mich beunruhigt es, dass meine Spyphone App, welche iPhones ausspionieren kann, eigentlich ein ganz einfaches Programm ist, ohne versteckte, spezielle Funktionen. Es liest einfach Dateien aus dem Flash-Speicher aus. Das spricht nicht unbedingt für Apples Software-Sicherheitsmanagement.
Apple soll angeblich eine sogenannte «Kill Switch» entwickelt haben.
Damit könnte das Unternehmen nachträglich bösartige Applikationen vom iPhone löschen. Ich habe aber noch nie gehört, dass ein solcher Fall je eingetreten ist.
(Tagesanzeiger.ch/Newsnet)
Erstellt: 09.12.2009, 13:53 Uhr
