Warum eine gesicherte Updatestrategie auch bei Smartphones wichtig sind

von Manuel Nientit,
assono GmbH, Standort Kiel,

In einem Blogeintrag vor nicht ganz zwei Wochen sprach ich im Kontext von BlackBerry über die Notwendigkeit einer gesicherten Updatestrategie auch für Smartphones. Auf dieser Welle möchte ich aus gegebenem Anlass nochmal reiten.

Auf Metasploit berichtet Tod Beardsley über den Exploit einer Sicherheitslücke in Android Versionen < 4.2, die bereits seit 2012 bekannt ist. Anscheinend war nur das ganze Ausmaß des Dramas bisher nicht offensichtlich. Tod jedoch demonstriert einen Exploit, mit dem es möglich ist, per Command Shell auf das infizierte Gerät zuzugreifen.

Was bedeutet das?
Wie es Tod in einem Kommentar formuliert: "Pretty much keys to the kingdom". Damit geht im Wesentlichen alles. Das Gerät kann komplett ferngesteuert werden... Wie wäre es mit einem Passwort-Diebstahl z.B. vom Online Banking? Oder mal das Mikro anzapfen und das Vorstandsmeeting abhören? Eigentlich habe ich es aufgegeben, im Kopf irgendwelche Szenarien durchzuspielen, was möglich ist und was nicht, denn irgendetwas übersehe ich bestimmt. Vielleicht sollte ich meine Sicherheitssensitivität nicht von meiner Fantasie, sondern von der anderer abhängig machen...

Wie kann man sich schützen?

Zunächst einmal nicht auf jeden Link "klicken" oder jeden QR-Code einlesen. wink.gif Selbst dann nicht, wenn die Quelle vermeintlich vertrauenswürdig ist. Spoof, gehackte Mailkonten und gefälschte QR-Tags sind immerhin kein Neuland. So far, so gar nicht neu.

Vielleicht wäre es einen Gedanken wert, über die MDM-Suite des Vertrauens die Nutzung von QR-Codes zu verbieten? Und möglicherweise könnte ein Proxy auch für die Smartphones ein kleines bisschen Sicherheit wiederherstellen? Zumindest werden Proxies ja im normalen Desktop-Kontext auch mit diesem Gedanken eingesetzt.

Und natürlich die im Titel angedeutete Update-Strategie. Was hier der Android-Community mal wieder auf die Füße fällt ist, dass, obwohl es (theoretisch) seit Dezember verfügbar ist, das neueste Android Update auf Version 4.4 "KitKat" laut Google bisher erst einen Verbreitungsgrad von gerade mal 1,4% erreicht hat. Umgekehrt sind ca. 70% aller noch im Umlauf befindlichen Androiden potentiell von der Sicherheitslücke betroffen. Zu nicht geringen Teilen werden sogar neue Smartphones auch von renommierten Herstellern noch mit veralteten Android-Versionen < 4.2 ausgeliefert. Wie im ersten Artikel (CSO) beschrieben, betrifft das vor allen Dingen billige Smartphones. Nur mal zum Vergleich, was den Verbreitungsgrad der letzten OS-Version auf Volkes liebster mobiler Spielekonsole angeht: iOS 7 ist aktuell auf 82% aller aktiven Ei-Geräte installiert. Der Rest hat vermutlich einfach verpasst, auf "Update" zu drücken.

Aber auch eine gute Update-Versorgung vom Hersteller/Provider hilft nur dann, wenn sie auch auf den Endgeräten ankommt. In jeder Windows-Domäne werden Updates zentral verteilt und erzwungen. Warum nicht auch auf dem Smartphone? Wir alle wissen, dass viele Nutzer nicht auf "Aktualisieren" klicken, wenn sie gefragt werden - oftmals sogar aus nachvollziehbaren Gründen. Die Frage an sich ist schon falsch.

Die Moral von der Geschicht'?
Unsere MDM-Wunschfeatures des Woche sind:

  1. Verbieten von QR-Codes und wenn wir schon dabei sind: NFC (mindestens genauso gefährlich)
  2. Erzwingen eines Web-Proxies, sofern dies zur Sicherheitsstrategie des Unternehmens gehört
  3. Inventarisierung und Übersicht über verwendete OS-Versionen
  4. zentrale Verteilung von OS-Updates
  5. Festlegung einer minimalen OS-Version, die auf die Server zugreifen darf

Hat eigentlich jemand Erfahrungen mit Custom ROMs wie z.B. Cyanogen? Stellen diese eine sinnvolle Alternative zu den mitgelieferten Androids dar? Insbesondere, wenn vom Hersteller keine Updates mehr kommen?

Fachbeitrag Administration Kommunikation

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

IBM Cognos Analytics 11.0.9 (R9)

IBM Cognos Analytics 11.0.9 (R9)

Erst Mitte November hatten wir über Neuerung in der Version 11.0.8 gebloggt. Knapp ein Monat später veröffentlicht IBM die Version 11.0.9 … Mehr

von
Filip Meyer
,

Sie haben Fragen? Wir sind für Sie da.

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Sie können uns auf verschiedene Weisen für eine unverbindliche Erstberatung erreichen:

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de