Schlagwort-Archive: Telefon

Carrier IQ: Nutzen schlägt Risiko

Originalartikel von Kervin Alintanahin, Threat Analyst

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.

Mobile Adress-Fälschungen mit Smart Surfing abwehren

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Das kostenlose Tool Trend Micro Smart Surfing for iPhones schützt Nutzer vor möglichen iOS-Sicherheitslücken. Und es gibt noch ein weiteres Problem, vor dem das Werkzeug Schutz bietet.

Ein unabhängiger Sicherheitsforscher stellte fest, dass in manchen Fällen der Safari-Browser die Adressleiste versteckt, nachdem eine Webseite geladen wurde. Diese Eigenschaft können Kriminelle bei Phishing-Angriffen nutzen, um eine höhere Glaubwürdigkeit für ihre Attacken zu erzielen. Die legitime URL der betroffenen Site kann in eine gefälschte Adresszeile eingefügt werden. Sobald die tatsächliche Adresszeile versteckt wurde, wird die gefälschte Zeile sichtbar, sodass die Nutzer glauben, sie seien auf einer legitimen Seite.

Um diesen Proof-of-Concept (POC)-Angriff vorzuführen, hatte der Forscher eine gefälschte Seite der Bank of America erzeugt. Aufmerksame Nutzer würden bemerken, dass beim Laden der Seite zwei Adresszeilen sichtbar werden und dass danach die tatsächliche Zeile verschwindet. Doch wenn besagte POC-Seite durch Trend Micro Smart Surfing for iPhone geladen wird, ist die Adresszeile immer sichtbar.



Das heißt, die Nutzer sind sofort gewarnt, wenn eine Site von einer solchen POC-Attacke betroffen ist. Zusätzlich wird jede Phishing-Site, die diese Technik nutzt, sofort blockiert.

Smart Surfing for iPhone ist über den App Store oder bei Trend Micro erhältlich.

Twitter-Spam: IQ-Test sammelt Handynummern

Original Artikel von JM Hipolito (Technical Communications bei Trend Micro)

Cyberkriminelle nutzen infizierte Twitter-Konten, um Links zu manipulierten Websites, die auf das Sammeln von Informationen „getrimmt“ sind, an unbekannte User zu verteilen. Die infizierten Twitter-Konten versenden Direct Messages an Freunde des Kontobesitzers.

Die Direct Message, im Grunde genommen das Twitter-Pendant einer privaten Nachricht, enthält einen Link, der einer IQ-Test Website ähnelt.


Ein IQ-Test mag harmlos wirken, doch wird dabei die Mobilnummer des Nutzers abgefragt. KOMO News meldete, dass „Nutzer, die ihre Mobilnummern angeben,  eine Rechnung von mindestens 10 Dollar im Monat für SMS erhalten könnten“. Auch wenn nicht jeder Online-IQ-Test mit Kosten verbunden ist, so sind doch die meisten betrügerisch.

Twitter-Nutzer werden dringend davor gewarnt, auf Links in ähnlichen Direct Messages zu klicken, auch wenn der Absender der Nachricht ein bekannter User ist. Diejenigen Nutzer, die befürchten, ihre Konten könnten zu den infizierten zählen, sollten ihre Kennwörter sobald wie möglich ändern. Das Trend Micro Smart Protection Network schützt die Anwender, indem es alle mit dem Angriff in Zusammenhang stehenden URLs blockt.

Es ist SMiShing-Zeit – das hat uns gerade noch gefehlt!

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Diesen Sommer warnte die CIFAS, der britische Service zur Betrugsabwehr, vor einer zunehmenden Bedrohung durch SMiShing. Diese Warnung wurde auch von der Tageszeitung The Guardian wiederholt.

Erste Berichte über SMiShing gehen bis in das Jahr 2006 zurück, als sich diese Bedrohung zum ersten Mal bemerkbar machte. Gespoofte oder anderweitig gefälschte SMS-Nachrichten wurden als Köder benutzt, um Opfer dazu zu verleiten, per SMS auf einen kostenpflichtigen Service zu reagieren, eine bösartige Website zu besuchen oder eine Telefonnummer anzurufen. Die SMS-Nachrichten selbst sind nicht bösartig, erfordern aber für ihre Erledigung oft sofort oder dringend die Aufmerksamkeit des Empfängers, wie z. B. Konto- oder Kreditkartendaten zu „bestätigen“ oderzu „aktivieren“, nicht vorhandene Abonnements zu kündigen oder fingierte Käufe zu bestätigen.

Beim SMiShing wird manchmal zusätzlich Vishing (Voice-Phishing) eingesetzt, wenn nämlich der Empfänger eine Telefonnummer anrufen muss, oder auch das gewöhnlichere Phishing, wenn der Empfänger angewiesen wird, eine bestimmte Website zu besuchen. Außerdem gibt es auch SMiShing-Nachrichten, die Empfänger auf bösartige Websites umleiten, wo ihr Computer dann infiziert wird.

Jemand hat alle Ihre persönlichen und Bankdaten auf der Website – URL der bösartigen Website – veröffentlicht. Sie müssen diese jetzt löschen.

Achtung, diese Nachricht wurde automatisch von – Name der Bank – generiert. Ihre EC-Karte wurde gesperrt. Um die Karte zu entsperren, müssen Sie umgehend diese Nummer +##-####-#### anrufen.

Wenn das Opfer die Nummer anruft, wird es beim Vishing von einem automatischen System (IVR), gelegentlich auch von einer echten Person, beispielsweise nach Kreditkartennummer, Kartenprüfnummer (Nummer auf der Rückseite Ihrer Kreditkarte), dem Ablaufdatum der Karte, Kontodaten oder sogar nach der PIN-Nummer der Karte gefragt. Oft haben es Kriminelle auch auf persönliche Daten, wie z. B. Geburtsdatum, Sozialversicherungs- oder Personalausweisnummer usw. abgesehen. Eine Audio-Aufnahme eines solchen Systems finden Sie hier.

Bei einer webbasierten Phishing-Bedrohung können auch mehr Daten entwendet werden, u. a. Angaben, die man nur schwer über eine Telefontastatur eingeben kann, wie z. B. den Geburtsnamen der Mutter oder eine E-Mail-Adresse. Mit diesen Angaben werden gefälschte Kreditkarten erstellt, oder sie werden als ID-Paket an andere Kreditkartenfälscher verkauft.

Abbildung 1

Werbung eines Kartenfälscherforums

Gleichzeitig ist auch ein Anstieg potenzieller, ausgehender Vishing-Anrufe zu beobachten. Diese Art von Anrufen nutzt das Vertrauen aus, das die Leute in das herkömmliche und ihnen vertraute Telefonsystem haben. Technologischer Fortschritt, insbesondere die Nutzung des Internets zum Telefonieren (VoIP), hat das Spoofing bzw. das Fälschen der Anrufer-ID sehr viel einfacher gemacht, so dass es deutlich schwieriger ist, den Betrüger zu entlarven und zu sperren. Diese Bedrohung hat sich schon so weit etabliert, dass telefonbasierte Cybercrime-as-a-Service-Einrichtungen bereits Geschäfte treiben.

Die Telefonnummer eines Vhishing-Anrufs ist gespooft und kommt häufig aus dem Ausland. Ein Beispiel wurde hier schon in einem früheren Blog genauer beschrieben.

Wenn Sie eine unerwartete Mitteilung erhalten, sei es per Telefon, E-Mail, SMS oder Brieftaube, und Sie darin aufgefordert werden, Ihre vertraulichen Daten einzugeben, sollten Sie *nicht reagieren*. Beantworten Sie die E-Mail oder die SMS nicht, sprechen Sie nicht mit der Person am anderen Ende der Leitung, und klicken Sie auf keinen der angezeigten Links. Notieren Sie sich stattdessen den Namen des Unternehmens, von dem die Mitteilung angeblich stammt, und setzen Sie sich direkt mit einem Mitarbeiter in Verbindung, um die Legitimität der Anfrage zu prüfen. Entgegen einigen Ratschlägen, die ich gelesen habe, sollten Sie die SMS oder E-Mail nicht sofort löschen, da die Inhalte für das Unternehmen, in dessen Namen die Mitteilung verschickt wurden, hilfreich sein könnten.

Wenn Sie Anti-Spam-Technologie für SMS benötigen, brauchen Sie nicht weiterzusuchen (die Anwendung ist auch in der Pro-Version des Consumer-Produkts enthalten)…