Als Leser unseres Blogs kennen Sie die aktuellen mobilen Sicherheitstrends: Das heißeste Thema bei den Cyberkriminellen sind derzeit mobile Bank-Trojaner. Wenn Sie auf einem Smartphone Online-Banking betreiben, können Diebe damit alle benötigten Daten abgreifen, die sie für einen Diebstahl benötigen – Benutzernamen, Passwörter und sogar Einmal-Passwörter, die Ihnen per SMS zugeschickt werden.
Bis vor kurzem schienen diese Trends, durch die strikten Beschränkungen bei iOS und dem Apple App Store, nur für Andoid-Geräte zu gelten. iPhone-Nutzer hatten selten mit anderen mobilen Gefahren als Phishing zu kämpfen. Doch nun wurde bekannt, dass auch iOS nicht sicher ist. Der SSL-Fehler, der den Namen „goto fail“ bekommen hat und mit iOS 7.0.6 behoben wurde, ermöglicht es Hackern, eigentlich geschützte, verschlüsselte Kommunikationen abzuhören und auch deren Inhalt zu verändern. Aber damit hört es nicht auf. Die Sicherheitsfirma FireEye hat eine Forschungsarbeit veröffentlicht, in der eine Methode beschrieben wird, mit der alle Tastatur- und Touchscreen-Ereignisse in iOS abgefangen werden können. Damit ist es möglich, einen Keylogger auf einem iOS-Gerät zu installieren, ohne einen Jailbreak durchführen zu müssen.
Das Prinzip ist einfach: Eine bösartige App (die sich als etwas ganz Unschuldiges tarnen kann, zum Beispiel als Musik-Player) kann im Hintergrund die Überwachung des iOS-7-Geräts einschalten und alle Touchscreen-Ereignisse des Smartphones aufnehmen. Jedes solche Ereignis ist eine einfache Nachricht wie „Nutzer berührt den Bildschirm bei den Koordinaten X, Y“. Da die iOS-Tastatur zu 100 Prozent standardisiert ist, kann man leicht herausfinden, welche Buchstaben mit diesen Koordinaten übereinstimmen. Die Demo-App, die von FireEye erstellt wurde, sendet die Daten an einen entfernten Server, der sie als Tastatureingaben anzeigt, so dass die Hacker alle Tastaureingaben des iPhones mitschneiden können. Wenn Sie ein Passswort eingeben, wird das sofort in die Datenbank der Hacker hochgeladen, was zu allen nur erdenklichen negativen Konsequenzen führen kann. Die App überwacht die Tastatureingaben des Anwenders sogar, wenn in den iOS-Einstellungen die Funktion „Background App Refresh“ ausgeschaltet ist. Um den Spion loszuwerden, muss der Anwender die Hintergrund-Überwachung ausschalten und über den Task Manager manuell alle verdächtigen oder ungenutzten Apps löschen.
Zum Glück wurde diese Sichehreitslücke von verantwortungsbewussten Forschern entdeckt, die Apple sofort darüber informiert haben und den Entwicklern in Cupertino nun helfen, das Problem zu lösen. Allerdings gibt es momentan noch kein Update für die Anwender, das dieses Problem aus der Welt schaffen würde.
Durch die restriktive Natur von iOS können Sie auch nicht viel gegen die Sicherheitslücke tun. Die oben genannte Möglichkeit ist recht unpraktisch, da damit das Multitasking nutzlos wird. Es gibt im App Store einige Tastaturen von Drittanbietern mit alternativer Tastenanordnung, so dass Sie vertrauliche Daten mit diesen Apps eingeben können und dann in die Banking-App oder auf die Online-Banking-Seite kopieren können. Allerdings garantiert das nicht die komplette Sicherheit der Daten.
Einen besseren Schutz ermöglichen nur Sicherheitsmaßnahmen, die von den Banken eingeführt werden müssen. Und hier kommt Kaspersky Lab ins Spiel: Die vor Kurzem angekündigte Plattform Kaspersky Fraud Prevention kann die Verteidigung von mobilen Banking-Apps stärken, indem sie zusätzliche Sicherheitsebenen einfügt. Eine dieser Ebenen ist die Geschützte Tastatur, die das Keylogger-Problem löst. Wenn Sie die Geschützte Tastatur für die Eingabe vertraulicher Daten nutzen, werden die Tasten immer wieder zufällig angeordnet, so dass die Koordinaten eines Tastendrucks von den Hackern nicht in Buchstaben umgewandelt werden können. Damit wird die beschriebene Hacker-Methode nutzlos, und Ihre Daten sind vor Cyberkriminellen geschützt.
Es gibt noch einige weitere Funktionen, die sowohl mobile Geräte als auch Computer vor Bank-Trojanern und anderen Finanz-Bedrohungen schützen – weitere Informationen dazu finden Sie auf der Webseite zu Kaspersky Fraud Prevention.