Angriff auf Smartphones: Wie Sie Telefon-Tracking und GPS-Datenlecks verhindern

GPS-Daten werden immer häufiger von Angreifern zu Phishing-Attacken missbraucht. Doch Telefon-Tracking und GPS-Spionage kann verhindert werden.

Angreifer, die zielgenaue Phishing-Attacken planen, verwenden dazu immer häufiger auch Geodaten, die sie von Smartphones mit GPS-Funktion beziehen.

Ortsdaten geben Einblick in die Aufenthaltsorte von potenziellen Opfern ebenso wie Anhaltspunkte für ihre Gewohnheiten und Lebensstile. Angreifer können mit ihrer Hilfe deshalb mehr über die Opfer, ihre Interessen und ihre Aktivitäten erfahren. Auf Grundlage solcher persönlicher Informationen ist es für sie dann leicht, eine personalisierte E-Mail zu verfassen, die sich auf aktuelle Tätigkeiten des Opfers bezieht. Dadurch steigt die Wahrscheinlichkeit dafür dramatisch, dass das Opfer die E-Mail, die angeblich von einer bekannten Person stammt, für authentisch hält – man fällt also auf die Täuschung herein.

Jede Organisation, in der die Risiko-Abschätzung ergibt, dass ihre Beschäftigten das Ziel von derartigem „Spear-Phishing“ werden könnten, sollte Aufklärungsarbeit leisten: Das Personal muss wissen, wie ihre Geodaten in die Öffentlichkeit geraten und missbraucht werden können; auch darüber, wie sich Telefon-Tracking und GPS-Spionage vermeiden lassen.

Wie Angreifer GPS-Daten verwenden

Mit den Smartphones, Laptops und sozialen Netzen von heute müssen Angreifer keine Telefonate mehr abhören, um grob herauszufinden, wo sich eine Person befindet. Viele Geräte verfügen mittlerweile über eingebaute GPS-Funktionalität, die sich mit bösartigen Apps missbrauchen lässt und bis auf wenige Meter genaue Lokalisierungsdaten liefert. Damit lassen sich die täglichen Routinen einer Zielperson herausfinden, etwa der Weg zur Arbeit und nach Hause. Ebenso ist es möglich, bevorzugte Orte für Aktivitäten nach der Arbeit festzustellen und dort scheinbar zufällige Treffen oder Gelegenheiten zum Stehlen von Informationen zu arrangieren. Noch einfacher ist es, eine Person auf Sozialnetz-Seiten wie Facebook oder Twitter auszuspionieren. Dort geben viele Leute versehentlich oder unwissentlich ihren aktuellen oder nächsten Aufenthaltsort preis.

Fotos mit Geotagging-Informationen zum Beispiel geben Anhaltspunkte dafür, wo und in welcher Begleitung jemand war. Bei Facebook und anderen Sozialnetzen können Nutzer ihre Profile vom Telefon aus samt Positionsdaten aktualisieren. Diese Informationen können versehentlich von einem Freund weitergegeben, von Malware auf dem Computer eines Freundes verraten oder einem Freund durch einen „social engineering“-Angriff entlockt werden. Wie sich leicht sehen lässt, können derartige Informationen also schnell einen größeren Kreis erreichen als beabsichtigt.

Wie sich Telefon-Tracking und GPS-Spionage verhindern lassen

Wenn es aus irgendwelchen Gründen erforderlich ist, Informationen über einen Beschäftigten mitzuteilen, ist es sinnvoll, die Möglichkeiten zur Verringerung der Genauigkeit seiner Ortsdaten zu nutzen. Bei Twitter lässt sich für jede Nachricht einzeln festlegen, ob auch die Position veröffentlicht wird; auch die gesamte Location-History lässt sich hier löschen. Bei Face2Face können Sie Geodaten auf bestimmte Freunde beschränken, mit Location Spoofer falsche Angaben verbreiten, so dass Ihr wahrer Aufenthaltsort verborgen bleibt.

Vom Einsatz von Apps wie FourSquare und Google Mobile, bei denen Gruppen von Menschen gegenseitig ihre Positionen verfolgen können, sollte abgeraten werden. Manche Mitglieder der Gruppen haben vielleicht kein Sicherheitsbewusstsein und könnten deshalb Social Engineering zum Opfer fallen, so dass vielleicht ein Angreifer in die Gruppe aufgenommen wird. Auch bei Geo-sozialen Aggregatoren ist eine Gruppen-Verfolgung möglich, zudem werden Informationen mit anderen Apps ausgetauscht. So ergibt sich ein noch vollständigeres Bild über Aufenthaltsorte und Aktivitäten einer Person. Also sind auch diese Dienste möglichst nicht zu nutzen, zumal spezielle Auswertungen obendrein auch Informationen wie Alter oder Geschlecht und sogar Fotos liefern können. Hotlist zum Beispiel bringt Facebook, Twitter, Foursquare und Yelp unter einer Oberfläche zusammen: Nutzer können sehen, wo andere waren, wo sie jetzt sind und wohin sie später gehen; das Eintreffen an einem Ort wird in Echtzeit gemeldet.

Beschäftigte sollten zudem davor gewarnt werden, unzulässige Apps auf ihrem Telefon zu installieren. Ein kostenloses Spiel für Android namens Tapsnake zum Beispiel schickt alle 15 Minuten GPS-Daten an einen Server; von dort sind sie gegen Gebühr mit einer anderen App, genannt GPS Spy, abrufbar, so dass eine andere Person den Standort des Telefons nachvollziehen kann.

Viele Mobilgeräte erfassen recht viele Informationen, wenn der Nutzer eine App beendet. Damit lassen sich die Bewegungen einer Zielperson rekonstruieren. Aus diesem Grund ist es wichtig, dass die Geräte eine Funktion zum Fernlöschen haben für den Fall, dass sie verloren gehen oder gestohlen werden.

Auch Tracking-Vorrichtungen in Firmenfahrzeugen müssen sorgfältig geschützt werden. Die damit erfassten Daten werden meist an eine dritte Partei weitergegeben, also sollten Sie sich sowohl mit den Sicherheitsstandards der Geräte beschäftigen als auch mit den Richtlinien für Mitarbeiter Ihres Dienstleisters (der mit dem Anbieter der Geräte identisch sein kann oder auch nicht). Auch bei Diensten wie Verkehrsmeldungen werden Standort-Daten nach außen mitgeteilt.

Für gefährdete Mitarbeiter sollte auch die Verwendung von Bluetooth an öffentlichen Orten überdacht werden. Dessen Reichweite liegt bei 10 bis 15 Metern – das reicht aus, um jemanden unbemerkt zu belauschen. Wie jede andere Technologie sollte deshalb auch Bluetooth abgeschaltet oder auf unsichtbar gestellt werden, wenn es nicht gebraucht wird.

Zudem ist es derzeit häufig so, dass die Ortsdaten von Telefonkunden dem Betreiber des Mobilfunk-Netzes gehören. Dies ist besonders dann heikel, wenn Mitarbeiter ins Ausland reisen: Die meisten Geheimdienste haben Vereinbarungen mit den Dienstleistern in ihrem Land, laut denen sie Zugriff auf Sprach- und Lokationsdaten haben.

Geo-Dienste auf den intelligenten Geräten von heute sind nützlich und spielerisch zu bedienen. Jedoch sollten ihre Risiken für Unternehmen nicht unterschätzt werden. Fordern Sie die Beschäftigten auf, ortsbezogene Dienste so oft wie möglich zu deaktivieren – auch das gute alte Kartenlesen kann schließlich interessant sein.

Über den Autor:
Michael Cobb, CISSP-ISSAP, ist ein angesehener Autor im Bereich Sicherheit mit mehr als 15 Jahren Erfahrung in der IT-Branche. Er ist Gründer und Geschäftsführer von Cobweb Applications, einer Beratungsfirma im Bereich Sicherheitsdienste nach ISO 27001. Cobb ist einer der Autoren des Buches IIS Security und hat viele technische Artikel für bedeutende IT-Publikationen geschrieben. Als Experte für SearchSecurity.com beschäftigt er sich mit den Themen Anwendungs- und Plattformsicherheit und war Gast-Instruktor bei mehreren Veranstaltungen der Security School von SearchSecurity.com.

Artikel wurde zuletzt im Januar 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close