Smartphone-Sicherheit: Security-Test für Hardware und Software

Von morgens bis abends ist das Smartphone unser ständiger Begleiter. Es weiß, mit wem wir kommunizieren, arbeiten oder flirten, was uns interessiert, wo wir waren und wo wir hin wollen, was wir sehen, hören, lesen und kaufen und bekommt über die Banking-App sogar Einsicht in unser Konto. Kurzum: Es weiß mehr über uns als irgendeine Person in unserem Umfeld. Wir benutzen es sogar selbst, um uns vergangene Ereignisse ins Gedächtnis zurückzurufen.

Kein Wunder also, dass sich Sicherheits-Features wie Fingerabdruck-Leser und Gesichtserkennung steigender Beliebtheit erfreuen. Doch können solche Zugangssysteme wirklich den Zugriff unbefugter Personen auf das Smartphone verhindern? Sind Angriffe aus dem Internet ausgeschlossen? Oder bietet die USB-C-Schnittstelle ein Zugangstor für Angreifer, die sich unseres persönlichen Assistenten bemächtigen wollen?

Diese Fragen haben wir mit unserem langjährigen Netztest-Partner umlaut diskutiert, zu deren Arbeitsfeld auch Sicherheits-Tests gehören.

Antworten auf Sicherheitsfragen

Das umlaut-Team beschäftigt sich dabei mit fast schon beliebigen technischen Komponenten, schließlich haben heute selbst Leuchten und Türsensoren Internetkontakt und sind damit in ihrer Sicherheit potenziell gefährdet. Neben solchen Narrowband-IoT-Devices (Internet of Things) testet umlaut auch die Head-Unit genannten Steuergeräte von Autos, und vom CPE (Customer Premises Equipment/Modem + Router) über Software bis zum Herzschrittmacher alles, was kriminelle Energien auf sich ziehen kann und damit ein potenzielles Sicherheitsrisiko darstellt.

Dieses breite Wissen um mögliche Schwachstellen und die nötigen Tests, um sie zu diagnostizieren oder auszuschließen, macht umlaut zum optimalen Partner, um einen passenden Smartphone-Test anbieten zu können. Der kann einzelnen Modellen die Unbedenklichkeit bescheinigen oder mögliche Einfallstore aufzeigen, die beseitigt werden müssen, um das Smartphone optimal zu schützen.

Viele potentielle Gefahren

Dabei kann ein Angriff auf verschiedenen Wegen erfolgen. Am schlimmsten aus Sicht des Nutzers ist es, wenn das Smartphone sich über das Mobilfunk-Netz hacken lässt. Denn mit diesem ist es nahezu immer verbunden und Angreifer aus aller Welt können eine Schwachstelle hier ausnutzen.

Fast genauso kritisch sind Angriffe über WLAN, wobei hier sehr oft zumindest die Firewall des Netzes, in das man eingewählt ist, zusätzlichen Schutz bietet.

Bluetooth wiederum setzt räumliche Nähe voraus, das gilt noch mehr für einen Angriff über die USB-Schnittstelle. Andere Angriffe erfordern sogar, dass der Hijacker das Telefon zumindest kurzfristig selbst in die Hand bekommt, man denke an den Exploit „Checkm8“, der im Moment für Schlagzeilen über ältere iPhones sorgt.

Software und Hardware im Security-Check

Die zu testenden Schwachstellen erarbeitet sich umlaut in Anlehnung an die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) herausgegebenen Standards für Applikationen, bei denen das Amt auch auf aktuelle Entwicklungen zeitnah reagiert. Hierbei wird etwa auf Schwachstellen in der Rechteverwaltung getestet, darauf ob die Geräte- und Datenverschlüsselung sicher ist und ob das Zertifikats-Management auszuhebeln ist.

Insgesamt 36 Testfälle untersuchen die Spezialisten, bevor die Software als sicher eingestuft werden kann oder der Smartphone-Hersteller mit kritischen Schwachstellen konfrontiert wird.

Ergänzt werden diese von umlaut mit auf die Hardware bezogenen Best-Practice-Ansätzen, bei denen etwa der sensible Boot-Vorgang auf Sicherheitslücken untersucht wird, über die Schadsoftware ins System gebracht werden kann. Auch die Möglichkeit, die Original-System-Software oder -Firmware gegen solche mit Schadcode auszutauschen, oder solchen über böswillig geänderte Update-Packages einzuschleusen, wird hier untersucht.

Insgesamt 18 Test-Cases hat das Smartphone bei der Hardware zu bestehen.

Einschätzung der Risiken

Am Ende der Untersuchung werden erkannte Schwachstellen einem Risk-Management unterzogen. Das hat zu beurteilen, ob ein erkanntes Problem unter Anwendung unterschiedlichster Standards wirklich zur Kompromittierung des Smartphones führen kann.

So können zuschaltbare Entwickler-Optionen es ermöglichen, einige Funktionen des Smartphones auch über die USB-Schnittstelle zu steuern. Doch solange sich hierüber kein Schadcode installieren lässt, ist die hieraus resultierende Gefahr gering, schließlich ist der Zugriff auf definierte Funktionen und die Zeit der bestehenden USB-Verbindung beschränkt.

Ist auch das Risk-Management zur Zufriedenheit der Tester ausgefallen, kann das Smartphone als Sicher zertifiziert werden, wobei größere Software-Releases natürlich einen neuen Test erfordern.

Zertifizierung der ersten Geräte

Die Überprüfung von Geräten hinsichtlich der Sicherheit von Hardware und Software bieten umlaut, connect und das Testlab allen Herstellern als externe Dienstleistung an.

Wer seine Produkte testen lassen möchte, kann den Test, der auf dem neu entwickelten Verfahren basiert, als unabhängige Beratungsleistung einkaufen. Fällt das Ergebnis positiv aus, erhält das Unternehmen ein Testsiegel, mit dem die Sicherheit des geprüften Geräts zertifiziert wird.

Als erster Hersteller hat sich Samsung dieser neuen Herausforderung gestellt - und das mit Erfolg. Die beiden Smartphone-Modelle Samsung Galaxy S10+ und Samsung Galaxy Note 10+ haben das connect-Siegel "Protected Device" erhalten.

Mit sicheren Geräten wie diesen muss nur noch der Nutzer durch umsichtiges Handeln dafür sorgen, dass er seine persönlichen Informationen nicht selbst gefährdet. Dazu gehört es natürlich, nicht jeden in einer Nachricht empfangenen Link anzuklicken, Apps keine Rechte einzuräumen, die diese nicht brauchen, und bei reger Smartphone-Nutzung lieber eine der etablierten Security-Suites zu nutzen.