Alarmierende Trends vom Mobile World Congress 2016

Eine Zusammenfassung der alarmierenden Sicherheitstrends, die auf dem Mobile World Congress 2016 in Barcelona präsentiert wurden.

Der Mobile World Congress dreht sich traditionell um Smartphones. Aber wenn man nicht nach ihnen Ausschau hält und eine andere Perspektive einnimmt, dann findet man auch jede Menge anderer Neuheiten. Mit diesem Ziel vor Augen und aus einem anderen Blickpunkt betrachtet, haben wir auf dem MWC 2016 leider viele alarmierende Dinge gesehen. Lesen Sie weiter, um zu erfahren warum.

Mobile Zahlungsarten: Nutzerfreundlichkeit im Vordergrund

Viele Firmen haben den Schwerpunkt auf mobile Zahlungsarten gelegt — ein Trend, der sich in zahlreichen Ankündigungen auf dem MWC deutlich abgezeichnet hat. Ein wiederkehrendes Thema waren dabei bequemere Mobile-Payment-Methoden. Von mehr Sicherheit war in diesem Zusammenhang allerdings keine Rede.

Samsung hat angekündigt, dass Samsung Pay in Kürze in verschiedenen Ländern verfügbar sein wird, darunter Brasilien, Großbritannien und Nordirland, Kanada, China und Spanien. Zwar gibt es bei Samsung Pay (anders als bei Apple Pay) keinen Grund zur Annahme, dass es nicht sicher sei, bemerkenswert ist allerdings, dass es einer Hackergruppierung unlängst gelungen ist LoopPay zu hacken. Das ist insofern erwähnenswert, als es sich hierbei um das zugrunde liegende System von Samsung Pay handelt, das vor einem Jahr von dem koreanischen Unternehmen erworben worden war.

Samsung gab an, dass die Hacker die Technologie stehlen wollten, um selbst ein ähnliches System zu entwickeln. Unklar ist, ob sie nicht schon über genug Daten verfügen, um auf Konten von Samsung-Pay-Nutzern zuzugreifen.

https://www.instagram.com/p/7LgOaiv0Gl/

Wenige Tage vor dem MWC haben Qualcomm und Tencet angekündigt, dass ein Qualcomm-basiertes Smartphone jetzt biometrische Fingerabdruckerkennung für WeChat, den größten chinesischen Messenger-Dienst, unterstützt. Auch wenn Qualcomm betont, dass diese Zahlungsweise dank des integrierten Systems Qualcomm Heaven sehr sicher sei, ist weithin bekannt, dass es gewisse Probleme mit Fingerabdruckscannern gibt. Es bleibt zu hoffen, dass Qualcomm und Tencent ein sicheres Zahlungssystem entwickelt haben, aber anzunehmen ist, dass Kriminelle — so wie das meistens bei neuen Zahlungssystemen der Fall ist — nichtsdestoweniger einen Weg finden werden, um das System zu hacken.

VISA geht vorsichtige Schritte in dieselbe Richtung. Das Kreditkartenunternehmen findet Gefallen an kontaktlosen Zahlungsarten (wie zum Beispiel VISA PayWave); seine Entwickler überprüfen alles doppelt und dreifach, um gewährleisten zu können, dass die Technologie absolut sicher ist, und das ist natürlich Wasser auf unsere Mühlen. Das Verfahren der Iriserkennung ist firmenintern schon zugelassen und auf dem MWC haben sie ein Fingerabdruckerkennungssystem vorgeführt. Glücklicherweise befindet sich das Verfahren noch in einer frühen Testphase und Entwickler überlegen eine Zwei-Faktor-Authentifizierung mit Fingerabdruck- und Iriserkennung zu implementieren.

Wir haben den Mann am VISA-Messestand nach seiner Meinung gefragt, was die Manipulation von Fingerabdruck– und Iriserkennung betrifft. Seines Wissens nach sei dies nicht möglich. Für alle Fälle versicherte er uns, dass Forscher — sollte es sich herausstellen, dass es doch möglich ist — eine andere zusätzliche Sicherheitsmaßnahme entwickeln würden, wie zum Beispiel die Überprüfung der Durchblutung in den Adern, die ebenfalls bei jedem Menschen einem einzigartigen Muster folgt.

Der Hauptrivale Mastercard hat VISA mit der Einführung der Selfie-Zahlungsweise die Schau gestohlen. Ja, Sie haben richtig gelesen: Selfie-Zahlungsweise. Anstelle von Passwörtern werden Selfies benutzt — und Mastercard behauptet tatsächlich, dass das die Sicherheit erhöhen würde, weil Internetnutzer dazu neigen, Passwörter falsch anzuwenden: Sie schreiben sie auf und verlieren sie oder verwenden dieselben Passwörter für mehrere Konten.

Das obige Video zeigt, dass es nicht nur erforderlich ist, vor der Kamera zu sein — man muss außerdem blinzeln, so dass sich das System nicht mit einem Foto täuschen lässt. Nichtsdestoweniger sind wir sicher, dass Hacker aus aller Welt die Herausforderung angenommen haben — wahrscheinlich reicht ein Video, um das System auszutricksen.

Fingerabdrucksensoren: Keine Weiterentwicklung

Biometrieverfahren werden zum Standard: Fingerabdruckscanner sind nicht mehr nur in den Vorzeige-Smartphones enthalten, sondern auch in den Mobilgeräten mittlerer und unterer Preisklassen. Huawei hat sogar in seinem neuen Windows-basierten 2-in-1-Laptop/-Tablet MateBook einen Fingerabdruckleser implementiert.

Auf dem MWC haben wir mit den Repräsentanten von zwei Herstellern von Fingerabdruckscannern gesprochen. Der neue Scanner, den Synaptics angekündigt hat, ist so sicher wie nur irgend möglich: Die Daten werden verschlüsselt, und Synaptics empfiehlt Smartphoneherstellern die sichere Umgebung ARM Trustzone zur Datenverarbeitung zu verwenden.

NEXT — ebenfalls Hersteller von Fingerabdruckscannern — hat dagegen zwei verschiedene Sensorentypen, von denen einer die Daten nicht verschlüsselt. NEXT macht die Notwendigkeit von sicheren Umgebungen für biometrische Daten nicht zu einem zentralen Thema, sondern legt den Schwerpunkt darauf, kostengünstige Produkte anzubieten. Da nicht viele Hersteller Sicherheit zu ihrer obersten Priorität machen, ist zu befürchten, dass die preisgünstigen und unsicheren Fingerabdruckscanner von NEXT in vielen Geräten implementiert werden. Das wird die vorgenannten kontaktlosen Zahlungstechnologien über Smartphones noch unsicherer machen, als sie sowieso schon sind.

Vernetzte Autos

Vernetzte und selbstfahrende Autos sind die Zukunft. Aber derzeit konzentrieren Autohersteller alle Anstrengungen darauf, das Fahrverhalten im Straßenverkehr zu verbessern und vernachlässigen die Cybersicherheit. Und das obwohl Forscher bereits jetzt gezeigt haben, dass Cybersicherheit eine absolute Notwendigkeit ist für jedes Auto, das dem Internet ausgesetzt ist.

Sowohl Samsung als auch Sony haben ihre „Do-it-yourself-Kits“ für vernetzte Autos vorgestellt, die sogar mit alten Automodellen kompatibel sind. Das von Sony angekündigte Kit wird über USB und Bluetooth verbunden und wirkt eher wie eine Steuerung für eine Navigations-App Ihres Smartphones. Für den Fall, dass ein solches Kit gehackt werden würde, könnte der Hacker vermutlich lediglich Ihr eingegebenes Ziel sehen, das sie ansteuern, die Musik, die Sie hören und wie diese Einstellungen geändert werden können. Kein gravierendes Sicherheitsrisiko.

Samsung hat dagegen ein komplexeres Device vorgestellt. Ein Feature analysiert die Funktionsweise des Autos, während ein anderes als Wi-Fi-Hotspot innerhalb des Autos fungiert. Das bedeutet, dass die Vorrichtung sowohl mit einem OBD-II-Port im Auto, als auch mit dem LTE-Netzwerk verbunden ist. Bereits jetzt wissen wir, dass sich ein Auto über OBD II remote hacken lässt. Samsung erleichtert Kriminellen die Arbeit zusätzlich, indem sie die Vorrichtung direkt mit dem Internet verbinden.

Ein Auto kann noch so sicher sein und die besten Bewertungen in Crashtests haben — wenn es anfällig ist für Hackerangriffe und sich fernsteuern lässt, dann sind unter Umständen all diese Sicherheitsvorkehrungen so gut wie nichts wert.

Allerdings war nicht alles auf dem MWC 2016 beunruhigend — es gab auch gute Neuigkeiten und es wurden sehr interessante Devices vorgestellt. Alles in allem ging es auf dem diesjährigen Mobile World Congress darum, dass alle Geräte vernetzt werden, und je mehr Dinge mit dem Internet verbunden sind, umso mehr Angriffsfläche gibt man Hackern. Es bleibt also zu hoffen, dass der nächste MWC sich um die Sicherheit all dieser neuen Internetverbindungen dreht. Klar ist allerdings schon jetzt, dass der nächste Black Hat diese neuen vernetzten Devices betreffen wird.

Was ist eSIM?

Der nächste Schritt in der Weiterentwicklung von SIM-Karten betrifft nicht die Größe und Bauform — es geht darum sie ganz abzuschaffen und stattdessen ein Profil in einem verbundenen Gerät zu speichern.

Tipps