26.03.2013 (fjh)
Smartphone-Besitzer ignorieren Sicherheitsempfehlungen für den drahtlosen Internetzugang und nehmen dadurch Risiken in Kauf. Das ergibt sich aus einer Umfrage von Marburger IT-Experten unter Nutzern des lokalen Funknetzes der
Philipps-Universität. Ihre Ergebnisse haben der Informatiker Prof. Dr. Bernd Freisleben und sein Team jetzt vorgestellt.
Drahtlose Lokale Funknetze (WLAN) ermöglichen eine Nutzung des Internets durch mobile Geräte wie Smartphones, Mobiltelefone und Tablets, die mit dem Betriebssystem "Android“ ausgestattet sind. "Ziel der Umfrage war es, zu ermitteln, wie viele der Android-Benutzer im Uni-WLAN sich bei der Konfiguration ihres Netzzugangs an die sicheren Vorgaben des Hochschulrechenzentrums halten“, erläuterte Freisleben.
Der Marburger Hochschullehrer ist auf mobile Internetanwendungen spezialisiert. Erst vor Kurzem hat er aufgedeckt, dass die Nachlässigkeit der Entwickler von Smartphone-Anwendungen - der sogenannten "Apps" - das Ausspähen von Nutzerdaten ermöglicht.
An der aktuellen Umfrage nahmen 390 Android-Benutzer teil. "Nur die Installation eines passenden Zertifikats und die Einstellung verlässlicher Authentifizierungsmethoden garantieren einen sicheren Zugriff auf das WLAN-Netz“, erläuterte Freisleben.
Das Hochschul-Rechenzentrum (HRZ) der Philipps-Universität empfiehlt, ein geeignetes Zertifikat auf einem Android-Gerät zu installieren und dann bestimmte Kombinationen von Authentifizierungsmethoden einzustellen. Nach dem Ergebnis der Studie installieren jedoch lediglich zwischen 12 und 24 Prozent der Nutzer das Sicherheitszertifikat, das vom HRZ zur Verfügung gestellt wird.
"„Nur durch dessen Verwendung ist indes wirksam zu verhindern, dass eine Verbindung mit betrügerischen Netzen aufgebaut wird“, betonte Dr. Martin Pauly vom HRZ. "Gleichzeitig ist damit die Verschlüsselung nach heutigem Kenntnisstand sicher.“
Gelingt ein Angriff gegen das Smartphone, weil dieser erste Schritt zu einer unsicheren Konfiguration geführt hat, so kann der Angreifer die Kommunikation mitlesen und verfälschen. Somit ist er auch in der Lage, das im zweiten Schritt zu prüfende, besonders kritische Benutzer-Passwort abzuhören.
"Damit erlauben sie potenziell unsichere Verbindungen“, erklärte Freisleben. Auch im zweiten Schritt wählen bis zu zwei Drittel aller Benutzer eine wenig sichere oder keine spezielle Einstellung („none“) für die Authentifizierung; sie handeln dadurch bei jeder Verbindung die Methode zur Authentifizierung neu aus.
Das Fazit der Wissenschaftler ist alarmierend: Über 80 Prozent der Android-Benutzer halten sich nicht an die vorgeschlagene Konfiguration des HRZ. "Durch die Verkettung von Einstellungsfehlern und unsicheren Konfigurationen setzt sich ein Großteil der Benutzer selbst unnötigen Gefahren aus“, warnte Freisleben. Das Hochschulrechenzentrum stellt auf seiner Internetseite
Anleitungen zur empfohlenen Konfiguration des WLAN-Zugangs für eine Vielzahl von Betriebssystemen zur Verfügung.
Zuletzt hatte Freislebens Arbeitsgruppe Aufsehen erregt, als sie Schlampereien bei den Sicherheitsvorkehrungen hunderter Smartphone-Applikationen aufdeckte. Die Sicherheitslücken der Apps ermöglichten den Forschern, Kontodaten sowie Zugangscodes für e-Mail- und Social-Media-Dienste abzufangen.
40 bis 185 Millionen Android-Nutzer könnten von derartigen unberechtigten Zugriffen bedroht sein, mutmaßen die IT-Experten. Ihre Ergebnisse unter dem Titel
Why Eve and Mallory Love Android: An Analysis of Android SSL [In]Security haben sie gemeinsam mit Kollegen aus Hannover auf der "19. ACM Conference on Computer and Communications Security" präsentiert.
pm: Philipps-Universität Marburg
Text 8154 groß anzeigenwww.marburgnews.de