web analytics

Sieben gängige Wege, ein Smartphone zu hacken – Source: www.csoonline.com

sieben-gangige-wege,-ein-smartphone-zu-hacken-–-source:-wwwcsoonline.com
Rate this post

Source: www.csoonline.com – Author:

Trotz des Mythos, sie seien sicher, können auch Smartphones angegriffen werden können. Experten erklären wie und welchen wirksamen Schutz es gibt.

Darkweb, Dunkelnetz und Hacking Konzept. Hacker mit Handy. Mann mit dunklem Web mit Smartphone. Betrug am Mobiltelefon, Online-Betrug und Bedrohung der Cybersicherheit. Stehlen Sie mit gestohlener Zelle. AR-Datencode.

Angriffsvektoren gibt es etliche, doch wenn der Mensch aufpasst, lassen sich viele neutralisieren.

Tero Vesalainen – shutterstock.com

Mobiltelefone gelten gemeinhin zwar als sicherer als PCs, sind aber dennoch anfällig für Angriffe – insbesondere durch Social Engineering und andere Hacking-Methoden. Die sieben am weitesten verbreiteten Wege, ein Smartphone zu hacken, sind dabei:

  • Zero-Click-Spyware
  • Social Engineering
  • Malvertising
  • Smishing
  • Gefälschte Apps
  • Pretexting
  • Physischer Zugriff

1. Zero-Klick-Spyware

Die gefährlichsten und raffiniertesten Angriffe auf Smartphones sind sogenannte Zero-Klick-Angriffe, da sie keine offensichtliche Handlung der Nutzer erfordern. Kommerzielle Überwachungsanbieter (CSVs), die oft als kriminelle Gruppen agieren, setzen solche Attacken ein und verkaufen Zero-Day-Exploits.

Laut Sicherheitsexperte Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, sind CSVs auch für die meisten dieser Exploits  Sicherheitslücken verantwortlich – besonders auf Mobilgeräten. Bereits 2023 wurden Zero-Days häufiger ausgenutzt als andere bekannte Schwachstellen – oft ohne dass das Opfer etwas tun musste, berichtet er.

Grimes betont, dass viele Zero-Click-Exploits so einfach sind wie das bloße Senden einer Nachricht – ohne dass der Nutzer sie sehen oder öffnen muss. Solche Angriffe seien sehr effektiv und können auf fast alle möglichen Opfer abzielen. Diese Angriffe werden oft für sechs- oder siebenstellige Summen an kommerzielle Anbieter oder Nationalstaaten verkauft, merkt der Security-Experte an. „Es wird gemunkelt, dass hinreichend fähige Nationalstaaten wie die USA über Tausende von Zero-Click-Angriffen verfügen … und sie bei Bedarf einsetzen.“

Technisch basieren sie oft auf klassischen Methoden wie Buffer Overflow, bei denen allein der Empfang einer Nachricht genügt, um Schadcode auszuführen. Grimes schätzt, dass rund 15 Prozent der Exploits keinerlei Nutzerinteraktion benötigen.

David Redekop, CEO von ADAMnetworks, betont, dass Zero-Click-Exploits zwar eine ernsthafte und anhaltende Bedrohung für hochrangige Ziele darstellen, „aber nicht für die breite Masse.“ Gewöhnliche Benutzer sind mit einer Vielzahl von weniger technologisch anspruchsvollen Angriffen konfrontiert, die jedoch in vielen Fällen genauso gefährlich sein können.

2. Social Engineering

Der einfachste Weg für Hacker, in ein Smartphone einzudringen, ist, den Nutzer zu täuschen – das Ziel von Social-Engineering-Angriffen. Zwar sind mobile Betriebssysteme besser geschützt als PCs oder Server und der Code von Anwendungen wird in einem Sandbox-Modus ausgeführt, der verhindert, dass er seine Privilegien ausweitet und das Gerät übernimmt.

Dieser Schutz erfordert jedoch oft aktive Nutzerentscheidungen nach Popups mit Sicherheitshinweisen. Nehmen diese überhand, werden sie gerne von Nutzern ignoriert, was die Wirksamkeit des Modells untergräbt.

Hinzu komme, so Catalino Vega, Sicherheitsanalyst bei Kuma, dass Berechtigungen meist mit dem Zugriff auf Funktionen für eine bessere User Experience verknüpft sind, so dass die meisten Nutzer einfach allen Anforderungen zustimmen. Gleichzeitig weist Joshua McKenty, CEO und Mitbegründer von Polyguard, darauf hin,  dass klassische Social-Engineering-Angriffe gerade ein Comeback erlebten, verstärkt durch KI-Technologien wie

  • Deepfakes,
  • personalisierte Phishing-Mails und
  • Identitätsbetrug basierend auf geleakten Daten.

3. Malvertising

Ein traditioneller Mechanismus, um betrügerischen Dialogfelder zu erzeugen, sind so genannte „Malvertisements“. Diese stützen sich auf die für das Ökosystem der mobilen Werbung entwickelte Infrastruktur, sei es in einem Browser oder in einer App.

Khadem Badiyan, CTO von Polyguard, stuft Malvertising allerdings als rückläufig ein, bedingt durch

  • bessere Browser-Sicherheit,
  • striktere App-Store-Richtlinien und
  • den Wechsel von Web- zu App-Nutzung

Sein Kollege Redekop warnt jedoch davor, diese Technik zu unterschätzen. Trotz des Rückgangs bleibe diese Art von Angriff weiterhin relevant. „Wenn man bedenkt, dass Google regelmäßig die Anzahl der entfernten Domains über seine TAG-Bulletins meldet und dass Dritte berichten, dass Google im Jahr 2024 5,1 Milliarden schädliche Anzeigen blockiert und 39,2 Millionen Konten von Werbetreibenden gesperrt hat, ist klar, dass das Problem des Malvertising noch lange nicht ausgestanden ist“, erklärt der Security-Experte.

4. Smishing

Ein weiterer Vektor, den Angreifer nutzen, um ihren Opfern infizierte Links zukommen zu lassen, ist das SMS-Phishing, auch bekannt als Smishing. Solche Attacken werden von Cyberkriminellen genutzt, um Malware zu verbreiten – oft durch gefälschte Nachrichten, die scheinbar von vertrauenswürdigen Personen stammen. Nutzer werden so zum Öffnen schädlicher Anhänge verleitet.

Laut Experten wie Joshua McKenty, CEO von Polyguard, wird Smishing durch das Umgehen von SMS-Link-Schutzmechanismen, etwa bei Apple, weiter erleichtert. Angreifer nutzen Schwachstellen in vertrauenswürdigen Domains, spezielle URL-Formate und Parsing-Fehler, um bösartige Links unbemerkt zu platzieren.

5. Gefälschte Apps

Ein anderer Social-Engineering-Trick, um Menschen davon zu überzeugen, ihre Smartphones mit Malware zu infizieren, sind gefälschte Apps.

Da Mobiltelefone über ein Sandbox-Modell verfügen, das den Anwendungscode vom Betriebssystem isoliert, waren diese Arten von Apps früher speziell auf „jailbroken“ iPhones ausgerichtet. Laut Rocky Cole, Mitbegründer von iVerify, spielt der Begriff „Jailbreak“ beim iOS-Hacking heute allerdings kaum noch eine Rolle. Moderne iOS-Angriffe seien hochentwickelt und stammten meist von staatlichen Akteuren oder Spyware-Anbietern. „Bei Android hingegen erfolgen Hacks häufig durch das Einschleusen schädlicher Apps in einen der AppStores oder durch Sideloading“, fügt er hinzu.

6. Pretexting

Wenn Nutzer ihre Geräte nicht selbst kompromittieren, greifen Angreifer oft auf sogenannte Pretexting-Techniken zurück: Sie geben sich mit gesammelten persönlichen Daten gegenüber dem Mobilfunkanbieter als das Opfer aus. So können sie per SIM-Swapping die Telefonnummer auf ein eigenes Gerät übertragen.

Dadurch erhalten sie Zugriff auf Anrufe, SMS und Sicherheitscodes – etwa für die Zwei-Faktor-Authentifizierung. Hiermit übernehmen die Kriminellen effektiv die Kontrolle über das Konto des Opfers.

7. Physischer Zugriff auf das Telefon

Eine der offensichtlichsten – aber gerne übersehenen – Möglichkeiten, besteht darin Malware auf dem Telefon einer anderen Person physisch zu installieren. Dies kann bei häuslicher Gewalt oder Stalking-Szenarien vorkommen, wird aber auch für Unternehmensspionage genutzt.

Wie Polygaurd-Mann Badiyan ausführt, können Angreifer Spionage-Apps wie FlexiSPY unbemerkt installieren, oder bösartige Konfigurationsprofile (besonders in iOS) oder via Sideloading installierte APKs nutzen, um Daten umzuleiten, den Netzwerkverkehr zu manipulieren oder dauerhafte Hintertüren einzubauen. Sogar über manipulierte Hardware wie Ladekabel lässt sich Malware einschleusen. Besonders gefährlich ist es, wenn Angreifer den Geräte-Passcode kennen. Hiermit sind sie dann in der Lage biometrische Daten hinzufügen und sich dauerhaft Zugang verschaffen.

Schützen lassen sich Geräte sich am effektivsten mit

  • starken Passcodes,
  • eingeschränktem USB-Zugriff bei gesperrtem Gerät und
  • regelmäßiger Überprüfung von Profilen und Sicherheitseinstellungen.

Kaum mehr Bluetooth- und Wi-Fi-Hacks

Zwei einst gängige Methoden, um Zugriff auf Mobiltelefone und deren Daten zu erlangen – Bluetooth und Wi-Fi – sind laut den Sicherheitsexperten inzwischen weitgehend aus der Mode gekommen.

Redekop erklärt, dass Wi-Fi als Angriffsvektor zunehmend unwirksam ist, da

  • Nutzer vermehrt VPNs verwenden,
  • moderne Wi-Fi-Hardware Sicherheitslücken schließe und
  • viele Dienste seit Snowden stark verschlüsselt seien.

Hierdurch würden Man-in-the-Middle-Angriffe erschwert. Joshua McKenty ergänzt, dass auch Bluetooth-Exploits wie BlueBorne dank regelmäßiger Updates und strengeren Berechtigungen stark zurückgegangen sind.

APIs und Rooting als Zugangshürden

Obwohl Smartphone-Betriebssysteme auf Unix basieren, unterscheidet sich ihre Architektur stark von PCs oder Servern, wodurch typische Exploits kaum funktionieren. APIs steuern die Kommunikation, und Befehlszeilenzugriff ist meist nur durch Rooting oder Jailbreaking möglich. Dennoch existieren Sicherheitslücken, die von hochentwickelten Angreifern – etwa staatlichen Gruppen wie der NSO – genutzt werden, um vollständige Kontrolle über Geräte zu erlangen und gezielt Personen auszuspionieren.

Angreifer, die Zugriff auf ein Device erhalten, können auf viele sensible Daten zugreifen, die von Apps in leicht lesbaren Formaten gespeichert werden, wie

  • SQLite-Datenbanken,
  • Browser-Cookies,
  • Cache oder
  • Absturzdateien.

Oft sind diese Informationen unverschlüsselt. Entwicklungswerkzeuge und Standard-Dienstprogramme erleichtern es Angreifern, diese Daten zu extrahieren, zu analysieren oder zu verändern. Bei verschlüsselten Daten können spezialisierte Tools wie Frida zum Entschlüsseln eingesetzt werden.

Trügerisches Vertrauen in Smartphone-Sicherheit

Trotz wirksamer Sicherheitsmechanismen und vorsichtiger Nutzer haben Angreifer durch ihre Beharrlichkeit noch einen weiteren Vorteil: Sie nutzen automatisierte Methoden, um Schwachstellen in mobilen Systemen schnell zu erkennen und auszunutzen.

Eine zentrale Schwachstelle bleibt dabei die weitverbreitete Selbstzufriedenheit der Nutzer, die Smartphones fälschlicherweise als besonders sicher betrachten. Cole betont, dass mobile Geräte längst keine Ausnahmen mehr sein dürfen – sie müssen in jede umfassende Sicherheitsstrategie für Endgeräte integriert werden.

Die Zeichen richtig deuten

Wer sich Sorgen macht, dass das Mobiltelefon gehackt wurde, sollte auf folgende Warnhinweise zweier Experten achten:

Redekop warnt davor, aufmerksam zu sein, wenn auf dem Smartphone Apps auftauchen, die man selbst nicht installiert hat. Solche Anwendungen könnten harmlos erscheinen, in Wahrheit aber im Hintergrund schädliche Funktionen ausführen. Besonders kritisch seien Apps, die über weitreichende Berechtigungen verfügen, die für ihren eigentlichen Zweck aber gar nicht notwendig sind. So ist beispielsweise der Zugriff auf den Standort in vielen Fällen überflüssig – mit Ausnahme von Navigations-Apps wie Karten.

Chris Hauk, Verbraucherschutzbeauftragter bei Pixel Privacy, weist zudem darauf hin, dass

  • ein plötzlicher Anstieg des Datenverbrauchs,
  • unerklärliche Neustarts,
  • fremde Geräusche während Telefonaten oder
  • eine stark verkürzte Akkulaufzeit

Hinweise dafür seien können, dass Gerät mit Spyware oder Malware infiziert ist.

Solche Schadprogramme agieren im Hintergrund, übertragen unbemerkt Daten oder überwachen die Aktivitäten des Nutzers. Das äußere sich letztlich in auffälligem und ungewöhnlichem Verhalten des Geräts, so der Experte.

vgwort

ABONNIERE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.

Original Post url: https://www.csoonline.com/article/3988152/sieben-gangige-wege-ein-smartphone-zu-hacken.html

Category & Tags: DLP Software, Identity Management Solutions – DLP Software, Identity Management Solutions

Views: 1

LinkedIn
Twitter
Facebook
WhatsApp
Email

advisor pick´S post

Codrut Andrei
Secure Software Development Lifecycle Fundamentals by Codrut Andrei
Secure Software Development Lifecycle Fundamentals...
BUTTERWORTH-HEINEMANN
Security Operations Center Guidebook – A Practical Guide for a Successful SOC
Security Operations Center Guidebook –...
CISO Forum
CISO’s – First 100 Days Roadmap – Your success as a security leader is determined largely by your first 100 days in the role.
CISO’s – First 100 Days...
RedHat
State of Kubernetes Security Report 2022 by RedHat
State of Kubernetes Security Report...
National Cyber Security
Cyber Security Toolkit for Boards – Helping board members to get to grips with cyber security by NCSC
Cyber Security Toolkit for Boards...
Harvard Business Review
Boards Are Having the Wrong Conversations About Cybersecurity – Board interactions with the CISO are lacking – by Lucia Millica and Keri Pearlson – Harvard Business Review
Boards Are Having the Wrong...
Vendict
The 2024 CISO Burnout Report by Vendict
The 2024 CISO Burnout Report...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Marcos Jaimovich
The Silent Spectre Haunting Your Network: QPhishing, the CISO’s Unspoken Nightmare.
The Silent Spectre Haunting Your...
Marcos Jaimovich
Goodbye to Traditional: Why Conventional Cybersecurity Tools are No Longer Sufficient for the Future of Digital Threats ?
Goodbye to Traditional: Why Conventional...
Marcos Jaimovich
Why do we compare a SOC (Security Operations Center) with the cockpit of a commercial airplane? by Marcos Jaimovich
Why do we compare a...
Joas Antonio
Security Operations Center (SOC) – Tools for Operations Development by Joas Antonio
Security Operations Center (SOC) –...

LASTEST PUBLISHED POSTS

Cyberint
Retail Threat Landscape Report Q1-Q3 – November 2024 Summary by Cyberint a Check Point Company
Retail Threat Landscape Report Q1-Q3...
NCSC
Protecting Critical Supply Chains – A Guide to Securing your Supply Chain Ecosystem
Protecting Critical Supply Chains –...
Culture AI
Time to Adapt – The State of Human Risk Management in 2024 by Culture AI.
Time to Adapt – The...
National Cyber Security Centre
Engaging with Boards to improve the management of cyber security risk.
Engaging with Boards to improve...
Microsoft Security
2024 State of Multicloud Security Report by Microsoft Security
2024 State of Multicloud Security...
bugcrowd
Inside the Mind of a CISO 2024 The Evolving Roles of Security Leaders 2024 by bugcrowd
Inside the Mind of a...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Lacework
CISO’s Playbookto Cloud Security by Lacework
CISO’s Playbookto Cloud Security by...
MITRE - Carson Zimmerman
Ten Strategies of a World-Class Cybersecurity Operations Center by MITRE
Ten Strategies of a World-Class...
SILVERFRONT - AIG
Identity Has Become the Prime Target of Threat Actors by Silverfort AIG.
Identity Has Become the Prime...
CYZEA.IO
Enterprise Information Security
Enterprise Information Security
IGNITE Technologies
ENCRYPTED REVERSE
ENCRYPTED REVERSE

More Latest Published Posts

WORLD BANK GROUP
Global Cybersecurity Capacity Program
Global Cybersecurity Capacity Program
Gary Hinson
Getting started withsecurity metrics
Getting started withsecurity metrics
EDPS
Generative AI and the EUDPR.
Generative AI and the EUDPR.
Bright
2024 Guide to Application Security Testing Tools
2024 Guide to Application Security Testing Tools
HADESS
Hacker Culture
Hacker Culture
Quuensland Govermment
RISK ASSESSMENT PROCESS HANDBOOK
RISK ASSESSMENT PROCESS HANDBOOK
Ministry of MOS Security
HIPAA SIMPLIFIED
HIPAA SIMPLIFIED
Hacker Combat
How Are Passwords Cracked?
How Are Passwords Cracked?
CIS - Center for Internet Security
How to Plan a Cybersecurity Roadmap in Four Steps
How to Plan a Cybersecurity Roadmap in Four Steps
ACSC Australia
Information Security Manual
Information Security Manual
Kaspersky
Incident Response Playbook: Dark Web Breaches
Incident Response Playbook: Dark Web Breaches
ninjaOne
Endpoint Hardening Checklist
Endpoint Hardening Checklist
HADESS
Important Active Directory Attribute
Important Active Directory Attribute
ISA GLOBAL CYBERSECURITY ALLIANCE
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
Rajneesh Gupta
IAM Security CHECKLIST
IAM Security CHECKLIST
sqrrl
Hunt Evil
Hunt Evil
Searchinform
How to protect personal data and comply with regulations
How to protect personal data and comply with regulations
Giuseppe Manco
Threat Intelligence Platforms
Threat Intelligence Platforms
CSA Cloud Security Alliance
Hardware Security Module(HSM) as a Service
Hardware Security Module(HSM) as a Service
IGNITE Technologies
CREDENTIAL DUMPING FAKE SERVICES
CREDENTIAL DUMPING FAKE SERVICES
IGNITE Technologies
A Detailed Guide on Covenant
A Detailed Guide on Covenant
NIST
Computer Security Incident Handling Guide
Computer Security Incident Handling Guide
IGNITE Technologies
DIGITAL FORENSIC FTK IMAGER
DIGITAL FORENSIC FTK IMAGER
Accedere
Cloud Security Assessment
Cloud Security Assessment
YL VENTURES
CISO Reporting Landscape 2024
CISO Reporting Landscape 2024
CISO Edition
Reporting Cyber Risk to Boards
Reporting Cyber Risk to Boards
CIOB
CIOB Artificial Intelligence (AI) Playbook 2024
CIOB Artificial Intelligence (AI) Playbook 2024
INCIBE & SPAIN GOVERNMENT
Nuevas normativas de 2024 de ciberseguridad para vehículos
Nuevas normativas de 2024 de ciberseguridad para vehículos