Smartphony: Wie sicher ist Ihr Smartphone?

Softwareupdates als Grundlage für Sicherheit im Internet of Things

Eine Vielzahl von Geräten ist heutzutage mit dem Internet verbunden, ohne dass eine langfristig gesicherte Updatestrategie für deren Betriebssoftware existiert. Mit dem Bekanntwerden von Programmfehlern (Bugs) sowie Sicher­heitslücken sind Angriffe jedoch lediglich eine Frage der Zeit. Wir zeigen Ihnen auf der CeBIT 2016, welche Sicherheitslücken bekannt sind und von Angreifern potenziell ausgenutzt werden können.

Eine Vielzahl von Geräten ist heutzutage mit dem Internet verbunden, ohne dass eine langfristig gesicherte Updatestrategie für deren Betriebssoftware existiert. Mit dem Bekanntwerden von Programmfehlern (Bugs) sowie Sicher­heitslücken sind Angriffe jedoch lediglich eine Frage der Zeit. Wir zeigen Ihnen – am Beispiel Android- und iOS-basierter Smartphones – welche Sicherheitslücken bekannt sind und von Angreifern potenziell ausgenutzt werden können.

In der Vision des Internet of Things sind alle Geräte jederzeit mit dem Internet verbunden. Für viele Produkte wie beispielsweise WLAN-fähige Lampen im Smart Home oder intelligente Sensoren in Industrieanlagen gilt dies bereits heute. Meist wird jedoch vernachlässigt, dass viele dieser Geräte über eine Betriebssoftware verfügen, die Sicherheitslücken aufweisen kann. Häufig verfügen Hersteller jedoch über keine umfassenden Strategien zur zeitnahen Behebung von Sicherheitslücken sowie zur Bereitstellung entsprechender Softwareupdates. Darüber hinaus werden geeignete Kommunikationskanäle benötigt, um Nutzer zeitnah informieren zu können.

Der nachlässige Umgang mit Softwareupdates ermöglicht es Angreifern oft mit geringem Aufwand gefährdete vernetzte Geräte zu identifizieren, um sich im Anschluss die lukrativsten Ziele auszuwählen oder automatisiert eine Vielzahl von Geräten mit gleichen Sicherheitslücken anzugreifen. Bei Smartphones ist das Problem der zeitnahen Verfügbarkeit von Softwareupdates besonders stark ausgeprägt. Smartphones sind weit verbreitet und speichern in vielen Fällen hoch sensible Daten wie Kontakte, Fotos und E-Mails, aber auch Bankdaten und Passwörter. Speziell bei Android-basierten Smartphones werden Sicherheitslücken meistens erst Monate nach Bekanntwerden geschlossen. Viele Hersteller veröffentlichen nur in unregelmäßigen Abständen Softwareupdates und stellen diese nach Ende des vom Hersteller vorgesehenen Produktlebenszyklus‘ – und damit nach kurzer Zeit – vollständig ein. Ein erheblicher Teil der im Einsatz befindlichen Smartphones wird daher trotz bekannter Sicherheitslücken nicht mehr mit Softwareupdates versorgt.

Unser Demonstrator zeigt Ihnen bekannte Sicherheitslücken für die verwendete Version Ihres Smartphone-Betriebssystems. Viele dieser Sicherheitslücken können mit geringem Aufwand ausgenutzt werden und ermöglichen einem Angreifer im schlimmsten Fall vollständigen Zugriff auf Ihr Smartphone – und damit auf Ihre Daten.

Wenn der Übergang von traditionellen Netzwerken zum Internet of Things gelingen soll, müssen Hersteller und Betreiber von vernetzten Geräten über nachhaltige Updatestrategien für ihre Produkte verfügen, um auf Bedrohungen durch Sicherheitslücken zeitnah reagieren zu können. Insbesondere ältere Geräte und Anlagen müssen über ihren gesamten Lebenszyklus hinweg mit Software­updates versorgt werden. Alternativ sind deren Nutzer über geeignete Kanäle rechtzeitig über bestehende Sicherheitslücken und/oder über entsprechende Gegenmaßnahmen zu informieren. Unabhängig davon, ob es sich um sensible Geschäftsgeheimnisse, umfangreiche Produktionsdaten oder persönliche Informationen handelt – Diebstahl, Manipulation oder Verlust können in einer zunehmend digitalisierten Gesellschaft unabsehbare Folgen haben. Die Grundlage für die Entwicklung und den Betrieb sicherer IT-Systeme wird dabei bereits mit den Anforderungen gelegt. Daher deckt das FZI in seiner Forschung den gesamten Lebenszyklus von Prozessen, Architekturen und Systemen ab.

Ihr Ansprechpartner

Dr. Matthias Huber

Abteilungsleiter

mehr

Werdegang

Ich habe 2009 mein Studium der Informatik am KIT abgeschlossen und von 2009 bis 2013 als wissenschaftlicher Mitarbeiter am KIT gearbeitet. Seit 2013 arbeite ich am FZI als Abteilungsleiter. Meine Promotion habe ich 2016 abgeschlossen.

Meine Forschungsinteressen umfassen:

  • Kryptographie und nachvollziehbare IT-Sicherheit
  • Sichere Software-Architekturen
  • Datenschutz durch Technik
  • Sicheres Datenbank-Outsourcing
  • Anonymitätsbegriffe und Datenbankanonymisierung

Publikationen

zu den Publikationen

Kontakt

Telefon: +49 721 9654-666
Fax: +49 721 9654-667
E-Mail: mhuber@dont-want-spam.fzi.de

weniger