Certified Protected Device: Kooperation von P3 communications und connect

Smartphone-Sicherheit: Security-Test für Hardware und Software

Von Finanztransaktionen über Shopping bis zu Liebeleien läuft heute alles über das Smartphone. Da hat die Sicherheit oberste Priorität. Grund genug für connect in Zusammenarbeit mit dem langjährigen Partner P3 communications und dem verlagseigenen Testlab einen Sicherheitstest für Smartphones zu entwickeln.

Smartphone Sicherheit

© © Andrew Rybalko / shutterstock.com

Smartphone Sicherheit

Von morgens bis abends ist das Smartphone unser ständiger Begleiter. Es weiß, mit wem wir kommunizieren, arbeiten oder flirten, was uns interessiert, wo wir waren und wo wir hin wollen, was wir sehen, hören, lesen und kaufen und bekommt über die Banking-App sogar Einsicht in unser Konto. Kurzum: Es weiß mehr über uns als irgendeine Person in unserem Umfeld. Wir benutzen es sogar selbst, um uns vergangene Ereignisse ins Gedächtnis zurückzurufen.

Kein Wunder also, dass sich Sicherheits-Features wie Fingerabdruck-Leser und Gesichtserkennung steigender Beliebtheit erfreuen. Doch können solche Zugangssysteme wirklich den Zugriff unbefugter Personen auf das Smartphone verhindern? Sind Angriffe aus dem Internet ausgeschlossen? Oder bietet die USB-C-Schnittstelle ein Zugangstor für Angreifer, die sich unseres persönlichen Assistenten bemächtigen wollen?

Diese Fragen haben wir mit unserem langjährigen Netztest-Partner P3 communications diskutiert​, zu deren Arbeitsfeld auch Sicherheits-Tests gehören.​

Antworten auf Sicherheitsfragen

Das P3-Team beschäftigt sich dabei mit fast schon beliebigen technischen Komponenten, schließlich haben heute selbst Leuchten und Türsensoren Internetkontakt und sind damit in ihrer Sicherheit potenziell gefährdet. Neben solchen Narrowband-IoT-Devices (Internet of Things) testet P3 auch die Head-Unit genannten Steuergeräte von Autos, und vom CPE (Customer Premises Equipment/Modem + Router) über Software bis zum Herzschrittmacher alles, was kriminelle Energien auf sich ziehen kann und damit ein potenzielles Sicherheitsrisiko darstellt.

Dieses breite Wissen um mögliche Schwachstellen und die nötigen Tests, um sie zu diagnostizieren oder auszuschließen, macht P3 zum optimalen Partner, um einen passenden Smartphone-Test anbieten zu können. Der kann einzelnen Modellen die Unbedenklichkeit bescheinigen oder mögliche Einfallstore aufzeigen, die beseitigt werden müssen, um das Smartphone optimal zu schützen.

Viele potentielle Gefahren

Dabei kann ein Angriff auf verschiedenen Wegen erfolgen. Am schlimmsten aus Sicht des Nutzers ist es, wenn das Smartphone sich über das Mobilfunk-Netz hacken lässt. Denn mit diesem ist es nahezu immer verbunden und Angreifer aus aller Welt können eine Schwachstelle hier ausnutzen.

Fast genauso kritisch sind Angriffe über WLAN, wobei hier sehr oft zumindest die Firewall des Netzes, in das man eingewählt ist, zusätzlichen Schutz bietet.

Bluetooth wiederum setzt räumliche Nähe voraus, das gilt noch mehr für einen Angriff über die USB-Schnittstelle. Andere Angriffe erfordern sogar, dass der Hijacker das Telefon zumindest kurzfristig selbst in die Hand bekommt, man denke an den Exploit „Checkm8“, der im Moment für Schlagzeilen über ältere iPhones sorgt.

Software und Hardware im Security-Check

Die zu testenden Schwachstellen erarbeitet sich P3 in Anlehnung an die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) herausgegebenen Standards für Applikationen, bei denen das Amt auch auf aktuelle Entwicklungen zeitnah reagiert. Hierbei wird etwa auf Schwachstellen in der Rechteverwaltung getestet, darauf ob die Geräte- und Datenverschlüsselung sicher ist und ob das Zertifikats-Management auszuhebeln ist.

Insgesamt 36 Testfälle untersuchen die Spezialisten, bevor die Software als sicher eingestuft werden kann oder der Smartphone-Hersteller mit kritischen Schwachstellen konfrontiert wird.

Ergänzt werden diese von P3 mit auf die Hardware bezogenen Best-Practice-Ansätzen, bei denen etwa der sensible Boot-Vorgang auf Sicherheitslücken untersucht wird, über die Schadsoftware ins System gebracht werden kann. Auch die Möglichkeit, die Original-System-Software oder -Firmware gegen solche mit Schadcode auszutauschen, oder solchen über böswillig geänderte Update-Packages einzuschleusen, wird hier untersucht.

Insgesamt 18 Test-Cases hat das Smartphone bei der Hardware zu bestehen.

Einschätzung der Risiken

Am Ende der Untersuchung werden erkannte Schwachstellen einem Risk-Management unterzogen. Das hat zu beurteilen, ob ein erkanntes Problem unter Anwendung unterschiedlichster Standards wirklich zur Kompromittierung des Smartphones führen kann.

So können zuschaltbare Entwickler-Optionen es ermöglichen, einige Funktionen des Smartphones auch über die USB-Schnittstelle zu steuern. Doch solange sich hierüber kein Schadcode installieren lässt, ist die hieraus resultierende Gefahr gering, schließlich ist der Zugriff auf definierte Funktionen und die Zeit der bestehenden USB-Verbindung beschränkt.

Ist auch das Risk-Management zur Zufriedenheit der Tester ausgefallen, kann das Smartphone als Sicher zertifiziert werden, wobei größere Software-Releases natürlich einen neuen Test erfordern.

Samsung Galaxy S10+ Note 10+

© connect

Die Samsung-Smartphones Galaxy S10+ und Note 10+ erhalten als erste das neue Testsiegel für Smartphone-Sicherheit.

Zertifizierung der ersten Geräte

Die Überprüfung von Geräten hinsichtlich der Sicherheit von Hardware und Software bieten P3 communications, connect und das Testlab allen Herstellern als externe Dienstleistung an.

Wer seine Produkte testen lassen möchte, kann den Test, der auf dem neu entwickelten Verfahren basiert, als unabhängige Beratungsleistung einkaufen. Fällt das Ergebnis positiv aus, erhält das Unternehmen ein Testsiegel, mit dem die Sicherheit des geprüften Geräts zertifiziert wird.

Als erster Hersteller hat sich Samsung dieser neuen Herausforderung gestellt - und das mit Erfolg. Die beiden Smartphone-Modelle Samsung Galaxy S10+ und Samsung Galaxy Note 10+ haben das connect-Siegel "Protected Device" erhalten.

Mit sicheren Geräten wie diesen muss nur noch der Nutzer durch umsichtiges Handeln dafür sorgen, dass er seine persönlichen Informationen nicht selbst gefährdet. Dazu gehört es natürlich, nicht jeden in einer Nachricht empfangenen Link anzuklicken, Apps keine Rechte einzuräumen, die diese nicht brauchen, und bei reger Smartphone-Nutzung lieber eine der etablierten Security-Suites zu nutzen.

P3-Gebäude

© connect / P3

Einer der Standorte des Unternehmens P3 communications.

Mehr zum Thema

Smartphone-Diebstahl
Handy orten, SIM sperren, Daten löschen

Was tun, wenn das Smartphone verloren geht? Wir verraten, wie Sie das Handy orten, die SIM sperren oder wichtige Daten fernlöschen können.
Car Connectivity
Car Connectivity

Schon heute stecken moderne Autos voller Computer, bald werden die Fahrzeuge untereinander Daten austauschen. Haben Hacker hier leichtes Spiel?
In-App-Käufe deaktivieren
iOS & Android

Viele zunächst kostenlose Apps und Spiele werden durch In-App-Käufe im Nachhinein noch richtig teuer. So deaktivieren Sie die In-App-Käufe.
Android-Lücke klafft weiter
Sicherheit

Satte 97 Prozent mobiler Malware bedroht Googles Betriebssystem. Wir zeigen Ihnen fünf aktuelle Malware-Angriffe und wie Sie sich mit simplen…
MMS Download deaktivieren Android
MMS Download deaktivieren

Android-Nutzer aufgepasst: So deaktivieren Sie den automatischen Download von MMS und schützen sich vor dem Stagefright-Bug.