Öffentliches Wlan und Sicherheit

[klio]

wenn man mit einem smartphone über einen öffentlichen w-lan hotspot surft, wie zb. beim mcdonalds, welche sicherheitsaspekte würdet ihr beachten bzw. welche gefahren können da lauern?

kein internetbanking zu betreiben ist für mich klar.

könnten aber zb. meine handydaten ausgelesen werden wie zb gespeicherte passwörter für email accounts, oder private musikdateien oder bilder?
wenn ja, wie könnte man das verhindern? gibts entsprechende sicherheits-apps dafür?

[D_D]

Das ist recht einfach zu beantworten:
Wenn jemand Deine Daten vom Smartphone will, dann bekommt er sie auch, egal welche
Schutzmechanismen Du installierst oder verwendest und egal
ob Du WLAN benutzt oder einfach telefonierst.

Wo man ansetzt hängt von Betriebssystem/Version und von der Smartphone-Marke ab.

[eigs]

welche sicherheitsaspekte würdet ihr beachten

Über verschlüsselte VPN Verbindung surfen.
Virenscanner und wenn Jailbreak Firewall verwenden.

welche gefahren können da lauern?

Kompletter Internetverkehr kann mitgeschnitten werden.
Root Zugriff auf das Handy.

könnten aber zb. meine handydaten ausgelesen werden wie zb gespeicherte passwörter für email accounts, oder private musikdateien oder bilder?
wenn ja, wie könnte man das verhindern? gibts entsprechende sicherheits-apps dafür?

Ja.
Bei Jailbreak Firewall installieren, Root Passwort ändern, keine Server auf dem Telefon laufen lassen.

Wenn jemand Deine Daten vom Smartphone will, dann bekommt er sie auch, egal welche Schutzmechanismen Du installierst oder verwendest und egal
ob Du WLAN benutzt oder einfach telefonierst.

Das heißt aber nicht, dass man fahrlässig werden soll. Weiteres hat der Angreifer meist auch nur begrenzte Möglichkeiten und gibt auf, wenn es für ihn aussichtslos wird.

Unter http://www.heise.de/security/meldung/Sm ... 30359.html gibt es ein schönes Video von einen iPhone Honeypot.

[klio]

na ja, das hört sich ja nicht so erfreulich an...

Über verschlüsselte VPN Verbindung surfen.

wie geht das? gleich wie bei einem pc, indem man sich einen vpn anbieter sucht? wenn ja, wer wäre da empfehlenswert?

Virenscanner und wenn Jailbreak Firewall verwenden.

ich habe das smartphone (android) nicht gerootet, daher kann ich wohl keine firewall verwenden, oder? welcher virenscanner wäre empfehlenswert?

Kompletter Internetverkehr kann mitgeschnitten werden.
Root Zugriff auf das Handy.

wenn ich das handy nicht gerootet habe, kann ein angreifer dann trotzdem root zugriff haben?

Bei Jailbreak Firewall installieren, Root Passwort ändern, keine Server auf dem Telefon laufen lassen.

wie gesagt, habe das smartphone nicht gerootet, daher kann ich keine firewall installieren(?), habe auch kein root passwort(?), und was ist darunter zu verstehen, dass man keine server auf dem handy laufen lassen soll?

[eigs]

wie geht das?

Unter Menü > Einstellungen > Mehr... > VPN kann man ein VPN hinzufügen.
Das Problem bei einer VPN Verbindung unter Android mit dem Protokoll PPTP ist, dass die DNS Auflösung nicht mehr funktioniert. Eventuell mal im Internet danach suchen ob es bei anderen Protokollen zuverlässig funktioniert.

Wenn man kein VPN nutzt am besten nur Verbindungen aufbauen wo die Verschlüsselung sichergestellt wird oder keine Personenbezogene Daten übertragen werden. Aber mache Programme verbinden sich automatisch sobald eine Internetverbindung besteht, das ist also schwer zu kontrollieren. (Whatsapp hat zum Beispiel auf Sicherheit nicht recht viel Wert gelegt.)

ich habe das smartphone (android) nicht gerootet, daher kann ich wohl keine firewall verwenden, oder? welcher virenscanner wäre empfehlenswert?

Wenn kein Root, dann kann man auch keine Firewall installieren. Allerdings halten sich die Möglichkeiten eines Angriffes ohne Root auch in Grenzen.
Virenscanner habe ich avast! Free Mobile Security. Ist gratis und ob es in Ernstfall ist ungewiss.
Wichtiger als ein Virenscanner ist aber meiner Meinung unter Menü > Einstellungen > Sicherheit > Unbekannte Herkunft keinen Haken dort zu haben. Sollte man wirklich ein Programm von einer anderen Quelle als den Market installieren wollen zuerst anhaken und nach den installieren den Haken wieder entfernen.

wenn ich das handy nicht gerootet habe, kann ein angreifer dann trotzdem root zugriff haben?

Ja, denn ein Programm unbekannter Herkunft kann das Telefon selber auch rooten. Aber so etwas kommt eigentlich zur Zeit nur vor, wenn der Nutzer das Programm aktiv öffnet. Zum Beispiel durch SMS verschicken sich gewisse Schädlinge weiter.

habe auch kein root passwort(?)

Das Problem ist das iPhone und der SSH Server der als Default Passwort "alpine" hat. Jeder der sich auf ein iPhone hacken wollte hat einfach die Default Benutzerdaten eingegeben und hat vollen Zugriff erhalten.

dass man keine server auf dem handy laufen lassen soll?

SSH, FTP, http, Samba und sonstige Server sind falsch konfiguriert eine Sicherheitslücke und der Angreifer hat wenn man Pech hat die komplette Kontrolle über deinen Hosentaschencomputer.

[Stefan]

Habe aufgrund dieses Threads etwas recherchiert.
Ich selbst habe das Virenprogramm Zoner AntiVirus und seit heute als Firewall DroidWall.

Die Ergebnisse meiner Recherche ware allerdings forlgende: Sowohl Viren als auch Hacker-Angriffe sind über die derzeitige Programm-Architektur praktisch ausgeschlossen.
Sollten schadhafte Programme die Android-Welt verseuchen, hat Google die Möglichkeit per Fernsteuerung seine Smartphones zu säubern.
Auch Angriffe per se sind praktisch uninteressant, weil zuwenig in der Linux-Struktur verändert werden kann, um nachhaltingen Schaden anrichten zu können.

Virenprogramme können nur Programme selbst erkennen, aber keine Source-Codes lesen oder ändern.
Software-Firewalls regeln in erster Linie den Zugriff nach außen, da die Linux-Architektur selbst schon guten softwarebsierten Schutz bietet.

Naja, das wichtigste ist einfach, die WLAN-Verbindung mit Verschlüsselung zu betreiben, aber genau das ist ja bei öffentlichen WLANs nicht der Fall.

P.S. Bin echt schon gespannt, ob die Windows8-Phones so anfällig wie die PCs sind; sonst wäre es für die PC-Welt echt gut gewesen, wenn sich Unix/Linux von Anfang an durchgesetzt hätte ...

Grüße
Stefan

[klio]

Unter Menü > Einstellungen > Mehr... > VPN kann man ein VPN hinzufügen.

wenn ich das richtig verstanden habe, brauche ich aber auch einen vpn-server? mcdonalds wird ja wohl keinen betreiben , also brauche ich einen vpn-anbieter, der wieder kostet...

Wenn man kein VPN nutzt am besten nur Verbindungen aufbauen wo die Verschlüsselung sichergestellt wird

die meisten öffentlich hot spots sind aber unverschlüsselt, oder?

oder keine Personenbezogene Daten übertragen werden.

das heisst, bloßes harmloses herumsurfen, ohne eingabe von passworten oder pin codes ist in der regel gefahrlos?

Allerdings halten sich die Möglichkeiten eines Angriffes ohne Root auch in Grenzen.

das ist wiederum beruhigend.

Wichtiger als ein Virenscanner ist aber meiner Meinung unter Menü > Einstellungen > Sicherheit > Unbekannte Herkunft keinen Haken dort zu haben.

danke für den tipp, hab ich gleich geändert. kann man durch diese einstellung verhindern, dass schädliche programme installiert werden?

Zum Beispiel durch SMS verschicken sich gewisse Schädlinge weiter.

besteht nur dann eine gefahr wenn man diese sms öffnet, oder ist es schon zu spät, wenn eine solche sms auf dem handy einlangt?

SSH, FTP, http, Samba und sonstige Server sind falsch konfiguriert eine Sicherheitslücke und der Angreifer hat wenn man Pech hat die komplette Kontrolle über deinen Hosentaschencomputer.

das habe ich nicht wirklich verstanden, da ich mich damit nicht auskenne. ich entnehme aber deinen worten: wenn ich mein handy nicht als server einrichte, dann ist mein smartphone auch kein server und ich kann auch keine server spezifischen probleme bekommen?

[klio]

Sowohl Viren als auch Hacker-Angriffe sind über die derzeitige Programm-Architektur praktisch ausgeschlossen. Sollten schadhafte Programme die Android-Welt verseuchen, hat Google die Möglichkeit per Fernsteuerung seine Smartphones zu säubern. Auch Angriffe per se sind praktisch uninteressant, weil zuwenig in der Linux-Struktur verändert werden kann, um nachhaltingen Schaden anrichten zu können.

gut zu hören. praktisch gesehen, besteht also beim reinen, harmlosen herumsurfen keine große gefahr, vorausgesetzt man gibt keine persönlichen daten ein (passwörter etc.)?

Virenprogramme können nur Programme selbst erkennen, aber keine Source-Codes lesen oder ändern.

ich hab bis jetzt kein virenprogramm installiert. ist so etwas auf einem smartphone unbedingt nötig?

Naja, das wichtigste ist einfach, die WLAN-Verbindung mit Verschlüsselung zu betreiben, aber genau das ist ja bei öffentlichen WLANs nicht der Fall.

ja, leider.

[eigs]

Sollten schadhafte Programme die Android-Welt verseuchen, hat Google die Möglichkeit per Fernsteuerung seine Smartphones zu säubern.

Ja haben sie und davon wird auch Gebrauch gemacht. Allerdings wird es auch darauf an kommen wie weit sich der Schädling ins System eingenistet hat.

sonst wäre es für die PC-Welt echt gut gewesen, wenn sich Unix/Linux von Anfang an durchgesetzt hätte ...

Linux ist nur der Kernel und mit dem alleine wird nicht so viel angefangen.
Damit du erst damit arbeiten kannst verwendest du eine komplette Distribution (z.B. Windows 7). Und bei dieser befinden sich meist auch die Sicherheitslücken.
Da vergleicht immer jeder einen Kernel mit einer Distribution.
Linux kann man zum Beispiel mit den Windows NT bzw. CE Kernel vergleichen.
Je umfangreicher eine Software bzw. Gesamtpaket ist desto mehr Fehler können sich einschleichen.

Die Sicherheit bezahlt man als Enduser schlussendlich mit Einschränkungen. Als ich noch Windows Mobile 5 hatte konnte man damit alles ohne es extra Rooten zu müssen machen (In der Registrie etwas einstellen so wie am PC). Da es nicht so verbreitet war gab es dafür auch keine Schädlinge.
Das iPhone ist ohne Root ziemlich sicher, aber man kann dafür auch gar nichts machen außer Programme vom App Store downloaden.

brauche ich aber auch einen vpn-server? mcdonalds wird ja wohl keinen betreiben , also brauche ich einen vpn-anbieter, der wieder kostet...

Ja, McDonalds betreibt keinen für dich. Ich habe meinen Server zu Hause, bringt mir in Verbindung mit Android aber nicht viel wegen den DNS Problem. Vielleicht werde ich irgendwann mal einen mit einen anderen Protokoll einrichten und erneut testen. PPTP macht hinter manchen NAT Routern (wahrscheinlich wegen den GRE-Protokoll) sowieso Probleme.
Aber wenn du das Geld in ein größere Datenpaket investiert bist du wahrscheinlich besser dran als das Geld für einen VPN Anbieter auszugeben. Zumal bei manchen Hotspots (jetzt fällts mir wieder ein auch bei McDonalds) sowieso nur Port 80 und 443 freigegeben sind und du damit keine VPN Verbindung ohne weiteres zusammen bekommst.

die meisten öffentlich hot spots sind aber unverschlüsselt, oder?

Ja, aber auch bei verschlüsselten öffentlichen Zugängen muss man aufpassen. Denn jeder der bei einer normalen WPA bzw. WPA2 Verschlüsselung das Passwort hat kann auch mitsniffen. Die WEP Verschlüsselung ist doch sowieso innerhalb kürzester Zeit geknackt.
Was ich mit Verschlüsselung gemeint habe ist die der Übertragung bis zum Server. Da gehört schon ein gewisser Aufwand dazu diese zu umgehen oder zu knacken. Allerdings ist VPN auch nicht ganz sicher. Siehe http://www.heise.de/security/artikel/De ... 01365.html

das heisst, bloßes harmloses herumsurfen, ohne eingabe von passworten oder pin codes ist in der regel gefahrlos?

Da sehe ich kein so großes Risiko solange man nichts installiert.

kann man durch diese einstellung verhindern, dass schädliche programme installiert werden?

Meistens schon. Natürlich werden die Schädlinge dich auffordern dass du dieses Kästchen wieder anhaken sollst.

besteht nur dann eine gefahr wenn man diese sms öffnet, oder ist es schon zu spät, wenn eine solche sms auf dem handy einlangt?

Nur wenn man den Link in der SMS öffnet. SMS die nicht vom Anbieter kommen die automatisch tätig werden werden vom Anbieter gar nicht zugestellt. Geht also nur wenn der Anbieter ein gröberes Sicherheitsproblem hat, der Hacker seinen eigenen Sender betreibt und die Funkkennung deines Anbieters aussendet oder dein (roaming) Anbieter mit den Verbrechern kooperiert (Bzw. war das in einem Land glaube ich der Staat selber der massenhaft BlackBerry infizierte).

wenn ich mein handy nicht als server einrichte, dann ist mein smartphone auch kein server und ich kann auch keine server spezifischen probleme bekommen?

So ist es.

[klio]

@eigs:
DANKE für deine präzisen antworten!

[ChristianWien]

Sollten schadhafte Programme die Android-Welt verseuchen, hat Google die Möglichkeit per Fernsteuerung seine Smartphones zu säubern.
Auch Angriffe per se sind praktisch uninteressant, weil zuwenig in der Linux-Struktur verändert werden kann, um nachhaltingen Schaden anrichten zu können.

Naja, diese Säuberungsmöglichkeit gibt es aber nur auf dem aktuellsten Android ab 4.0 (welche nur marginale Verbreitung haben, da die meisten Hersteller aus taktischen Gründen kaum/keine Updates bringen, da sich am Kunden beim Kauf eines neuen Smartphones mehr verdienen läßt) und auch hier muß der Benutzer dem zustimmen.

Offen dabei ist, wie gründlich einerseits Malware derart entfernt werden kann (Rootkits) und ob Malware dies Möglichkeit und auch die Abfrage für den Scan nicht verhindern kann.
Bei einigen Serien von Smartphones (insbesondere Samsung ist betroffen) braucht es gar keine ausgefuchste Malware, da auf Grund eines fatalen Kernel-Bugs bei der Implementierung JEDE(!) Applikation auf sämtliche Speicherbereiche lesend + schreibend zugreifen kann.
Außerdem kann Malware auch noch so nette "Features" nutzen wie z.B. "geheime" Werksreset-Codes, die das Android auf eine äußerst jungfräuliche und wenig benutzbare Version zurücksetzen und dabei klarerweise auch sämtliche Daten und Apps vernichten können.
Weiters können bösartige Apps auch auf Funktionen der SIM-Karte zugreifen und diese mittels
3-maliger Falscheingabe der PIN sperren und bei entsprechender Bösartigkeit auch durch weitere 10 Falscheingaben der PUK endgültig unbrauchbar machen.

Virenprogramme können nur Programme selbst erkennen, aber keine Source-Codes lesen oder ändern.

Klar.
Es gibt keinen 100%-igen Virenscanner.
Da hilft vor allem Brain 1.0 - eben der normale Hausverstand, der leider auch beim Billa aus ist.

Naja, das wichtigste ist einfach, die WLAN-Verbindung mit Verschlüsselung zu betreiben, aber genau das ist ja bei öffentlichen WLANs nicht der Fall.

WLANs sind per se sicherheitsanfällig, weil eben alles, was von außen zugänglich ist, prinzipiell und potentiell zu knacken ist.
Es ist eben nur eine Frage des Aufwands und auch potentiell weitestgehend sichere Protokolle haben häufig Sicherheitslücken in der Implementierung und werden dadurch wieder leicht knackbar.
Gerade in der heutigen Zeit mit den günstigen Mobilfunk-Datentarifen sehe ich in WLANs keinen Sinn mehr.
Außerdem sind die freien und kostenlosen Hotspots üblicherweise geschwindigkeits- und portmäßig sehr limitiert, weil die Betreiber klarerweise weder exzessiven Traffic subventionieren und noch weniger für diverse Vergehen (illegales Filesharing etc.) der Nutzer haftbar gemacht werden wollen.

P.S. Bin echt schon gespannt, ob die Windows8-Phones so anfällig wie die PCs sind; sonst wäre es für die PC-Welt echt gut gewesen, wenn sich Unix/Linux von Anfang an durchgesetzt hätte ...

Anfällig ist ein (Windows-)PC immer, wenn sich die Benutzer falsch und ignorant verhalten.
Zu viele glauben noch immer, daß es an Kenntnissen ausreichend wäre, eine Maus bedienen zu können und außerdem finden auch alle angeblichen "Gratis-"Angebote (insbesondere von kostenpflichtiger Software etc.) immer noch dankbare Abnehmer und sorgen dafür, daß die Botnetze erhalten bleiben bzw. wachsen.
Klarerweise kann man sich aber auch bloß durch unbedarftes Surfen ohne entsprechende Konfiguration, immer aktuelle Software + Plugins + Windows-Updates etc. auch ohne eigenes Zutun Malware eintreten, wenn seriöse Seiten gehackt und verseucht sind.

Unix/Linux hat prinzipiell ein besseres Rechteverwaltungskonzept und ist auf Grund der verschiedenen Distributionen auch nicht so homogen, sodaß es im Vergleich zu Windows deutlich schwerer angreifbar ist und daher - auch aus der erheblich geringeren Verbreitung am Desktop - nicht im Fokus der Cyber-Mafia.
Das wird sich aber mit der Verbreitung von Smartphone auf Android-Basis sicher sehr bald ändern.
Allerdings reicht es - egal auf welcher Plattform - auch aus, wenn "nur" die jeweiligen Benutzeraccounts und -daten von Malware betroffen sind.
Ob alle deine Daten, Fotos, Videos, ... weg sind oder ob zusätzlich auch noch das ganze System gekillt ist, macht häufig nur einen geringen Unterschied.

[eigs]

Naja, diese Säuberungsmöglichkeit gibt es aber nur auf dem aktuellsten Android ab 4.0

Die Methode wurde aber schon lange vor Android 4.0 angewandt.

Offen dabei ist, wie gründlich einerseits Malware derart entfernt werden kann (Rootkits) und ob Malware dies Möglichkeit und auch die Abfrage für den Scan nicht verhindern kann.

Es wurden schon Handys von Google automatisch gerootet und dann wieder alles im Ursprungszustand gesetzt. Verlassen würde ich mich aber nicht drauf, dass das immer funktioniert. Es gibt bestimmt eine Möglichkeit diese Synchronisation zu verhindern, dann müsste Google wieder ein automatisches Update machen (sofern das noch möglich ist) damit das wieder erkannt wird.

Gerade in der heutigen Zeit mit den günstigen Mobilfunk-Datentarifen sehe ich in WLANs keinen Sinn mehr.

Ich sehe schon einen Sinn. Wenn man im Ausland ist und dort keine SIM Karte besitzt bzw. nicht so viel Datenvolumen hat (weil in manchen Ländern ziemlich teuer) ist es durchaus um einiges billiger über WLAN zu surfen. Wobei kostenpflichtige WLAN nutze ich sowieso nicht, da die meistens katastrophale Preise verlangen.

[brus]

Gerade in der heutigen Zeit mit den günstigen Mobilfunk-Datentarifen sehe ich in WLANs keinen Sinn mehr.

Ich sehe schon einen Sinn. Wenn man im Ausland ist und dort keine SIM Karte besitzt bzw. nicht so viel Datenvolumen hat (weil in manchen Ländern ziemlich teuer) ist es durchaus um einiges billiger über WLAN zu surfen.

Auch das telefonieren über WLAN ist viel günstiger. Vom WLAN Anschluß meiner Tochter in Vancouver (oder über die vielen kostenlosen Hotspots der Lokale) kann ich über Voip mit DialNow um 0 Cent Kanada anrufen, mit 4 Cent zu AT Mobil.
Hat mir schon viel erspart.

[Boy2006]

Vom WLAN Anschluß meiner Tochter in Vancouver

Klar von zuhause geht es auch via W-Lan aber

über die vielen kostenlosen Hotspots der Lokale)

gibt es Probleme weil die Ports einfach zu sind.

[skeohan]

schau Dir mal droidsheep oder facesniff an.

Hier der Artikel dazu.

http://www.focus.de/digital/internet/j- ... 24385.html