Nützliche Smartphone Apps & Configs

Im Smartphoneworkshop geht es um die Absicherung des von uns, im Alltag vermutlich am meisten genutzten Computers, die sichere Kommunikation mit ihm und um die speziellen Probleme und Risiken, die er mit sich bringt.

Diese Seite ist als Handout zu verstehen und dient zur Orientierung im Themenfeld und zur anschließenden Rekapitulation.

Sicherung des Gerätes

Gegen Fernzugriff

Updates

Es ist wichtig Regelmäßige Sicherheitsupdates zu Installieren, da nur so (theoretisch) sichergestellt ist, dass bekannte Bugs, die von Malware zum eindringen in das System genutzt werden könnte geschlossen werden

  • iOS: Apple hat hierbei die ausgereifteste Strategie: Die Updates kommen Direkt vom OS Hersteller ohne Umwege auf das Gerät und der Support zeitraum, also der Zeitraum in dem Updates für ein Bestimmtes Modell erscheinen ist relativ konstant.
  • Android: Hier ist der Updatezyklus und der Support Zeitraum startk Hersteller abhängig.
    • Vorreiter sind hierbei die Nexus Modelle, die über Google vermarktet werden, bei dehnen der Update Prozess ähnlich gut funktioniert wie bei Apple.
    • Die Herstellerabhängigkeit sorgt in der Praxis zu sehr inhomogenen Patchständen
      • Sogenannte "Custom Roms" können hier Abhilfe schaffen.

Android: Custom Roms

Custom Roms sind alternative Android derivate die zumeißt von einer freien Community entwickelt und gepflegt werden.

  • Vorteile gegenüber dem Standartsystem sind
    • Keine Bloatware (unnütze voristallierten Herstellerapps)
    • Herstellerunabhängiger Updatezyklus
    • Erweiterte Funktionen
      • Z.B. "Datenschutz" unter Cyanogenmod
        • Verfeinert Das Rechtesystem von Android, so das einzeln Berechtigungen für den Zugriff von Apps auf bestimmte Daten gewährt oder gesperrt werden können.
  • Nachteile können sein
    • Unklarer Supportstatus
    • Durch anderes System auftretene Bugs bei Apps
    • Wegfall der Garantie bei Softwareproblemen

"There is no cloud just other people's computers"

Die Betriebsysteme selber und auch einige seperate Apps bieten den Nutzern an, ihre Daten über Clouddienste zu Synchronisieren (iCloud, Dropbox, Google Drive, etc..). Dieses im alltag sehr nützliche Funktion birgt aus Datenschutzsicht jedoch ein teilweise gewaltiges Risiko. Man Sollte Sich ins Bewusstsein Rufen, dass man hier oft privateste Daten, wie Fotos oder Passwörter in Fremde Hände legt. Man selber hat keine kontrolle über den Sicherheitstand der Hersteller und zahlreiche Vorfälle und Angriffe aus der vergangen heit zeigen, dass es den Betreibern ähnlich ergeht. Siehe hierzu Linkliste "Angriffe".

Probleme mit Clouddiensten

  • Keine Kontrolle über den Sicherheitsstand
  • Bei kleinen Entwicklern häufig schlampig durchgeführte, unzureichende Sicherung der eigenen Systeme
  • Unklare Jurisdiktion
  • Hohes Missbrauchspotential, durch große Datenmengen bei komplett Sync oder Backup Lösungen
    • (live) Bewegungsprofil (z.B. Google Dienste)
    • Nachrichten
    • Fotos/Videos
    • ggf. Passwörter
    • Kalender
    • Benutzungsprofil
    • Browseverlauf
    • ggf. Gesundheitsdaten
    • uvm.

App Berechtigungen

Auch gegen Angriffe von innen in Form einer Bösartigen, jedoch harmlos erscheinenden App sollte man sich schützen.

  • Nachdem man einer App berechtigungen für einen Datenbereich gegeben hat kann sie, im wesentlichen frei darüber verfügen.
  • iOS: Der App sollten nur die Berechtigungen erteilt werden, die sie aus User sicht auch benötigt
  • Android: ein Ausführliches berechtigungsystem gibt es Erst seit Android 6.0,
    • Abhilfe schaffen Custom Roms (s.o.)

Gegen physikalischen Zugriff

Display

Displaysperren sind wichtig, da sie zum Beispiel das Gerät entschlüsseln

  • Biometrische Merkmale sollten zum entsperren nicht benutzt werden
    • Gesichtserkennung leicht mit Foto überlistbar
    • Fingerabdruck authentification schlecht, da sich auf dem Gerät selber potentiell viele kopierbare Fingerabdrücke befinden
  • Android: Muster bei niedrigen komplexitätzstufen leicht von Fettrückständen auf dem Display ablesbar
    • Ein längerer (>= 8 Zeichen) Code ist die wirksammste Entsperrmethode

Verschlüsselter Speicher

Ein verschlüsselter Telefonspeicher sorgt dafür, dass er nicht ausgelesen oder manipuliert werden kann wenn das Smartphone in die hände eines angreifers gerät.

Hierbei gibt es einige Dinge zu beachten

  • Die Entschlüsselung läuft über den Displaysperrcode
    • Er muss ausreichend schwer zu Raten sein.
  • iOS: Hier ist standartmäßig eine Hardware basierte Verschlüsselung eingeschaltet,
  • Android: Die Softwareverschlüsselung muss in den Einstallungen aktiviert werden
  • Windows Phone: Die Softwareverschlüsselung muss in den Einstallungen aktiviert werden (AFAIK)

Sicherung der Kommunikation

Da ein Smartphone immernoch Hauptsächlich zur Kommunikation mit anderen Menschen Gedacht ist, liegt ein besoderes Augenmerk der User auf der Sicherstellung sicherstmöglicher Kommunikation mit andern.

VPN

In unsicheren Netzwerken kann ein VPN tunnel dei Daten gegen Fremdzugriff schützen
Zusätlicher Bonus: Geographische Herkunnft kann verschleiert werden.

Apps

  • OpenVPN
  • Zahlreiche anbieter spezifische clients

Enterprise Wifi (Eduroam)

Bei Enterprise Wifi Netzwerken meldet man sich mit bei einer Zentralen Stelle an, hierbei sind jedoch einige Punkte zu beachten. Dies gilt explizit auch für Das Universitätsnetz Eduroam.

  • Sichere möglichst seperate Passwörter
  • Immer die Zertifikate überprüfen korrekt installieren und Eintragen

Email

Siehe Emailverschlüsselungsworkshop

Apps

  • K-9 Mail
    • Mail Client mit PGP funktion

Instant Messaging

Die Meiste Kommunikation findet heutezutage in IMs stadt, umso wichtiger ist die Wahl des richtigen Clients und Protokoll
Hierbei ist zu achten auf:

  • Starke Ende-zu-Ende Kryptographie
  • Nachvollziehbare Authentifikation
    • kein Vertrauensbasis mit der Infrastruktur notwendig
  • Einfache Anwendbarkeit (!)

Apps

The Good

DO!

  • Signal
    • Open Source
    • Starke Kryptographie
    • Gut Nachvollziebare Authentifizierung
    • Kann auch Sprache
  • Threema
    • Closed Source
    • Starke Kryptographie
    • Sehr gut Nachvollziebare Authentifizierung

The Bad

DON'T!

  • Whatsapp
    • Closed Source
    • machnmal Ende-zu-Ende, manchmal nicht
    • lange Geschichte von Sicherheitspannen
  • Snappchat
    • keine bis schlechte Kryptographie
    • lange Geschichte von Sicherheitspannen
  • SMS
    • Im wesentlichen Klartext
    • für Alle

The Ugly

Besser als nichts.

  • iMessage
    • Closed Source
    • Nur Ende-zu-Ende Verschlüsselung
    • Authentification über Apple
    • Nur iOS
  • Telegram
    • Closed Source
      • Aber freie API
    • Ende-zu-Ende Verschlüsselung nicht Standarteinstellung
    • Keine Ende-zu-Ende Verschlüsselung in Gruppenchats
    • Eigenentwickelter, weitgehend ungetesteter Verschlüsselungsalgorithmus
    • Desktop clients

Honarable Mentions

  • Tox (Antox/Antidote)
    • Peer2Peer
    • Ausschließlich starke Cryptography
    • benutzbar aber noch in früher Entwicklung
    • Desktop Clients
    • Anonymes Login
  • hoccer
    • Closed Source
    • Nur Ende-zu-Ende Verschlüsselung
    • Wenig Details über Technik bekannt
    • Anonymes Login

Voice Over IP

Als ersatz für die normale unverschlüsselte Kommunikation gibt es auf dem Privatmarkt leider wenige wirklich gut funktionierende Lösungen.
Wier sind beim Thema VoIP von Skype eine Qualität und Zuverlässigkeit gewöhnt, die andere, sicherere Apps leider nicht Bieten können.
Da Skype, jedoch massiv von staatlichen Behörden abgehört werden kann und wird sollen hier dennoch eine App Genannt werden, die Das Problem teilweise löst

  • Signal
    • Kann auch instant messaging
    • starke Ende-zu-Ende Verschlüsselung
    • Sprachqualität häufig miserabel

Anonymisierung der Kommunikation

Die Vermeidung von Metadaten ist ein wichtiger Bestandteil der persönlichen Daten Sicherheit. Dies wird durch Anonaymizer erreicht.

Addblocker

Addblocker blockieren Werbung und ungewünschte Webseiteninhalte. Dadurch verschlechtern sie die eigene Trackbarkeit. (Siehe Webtracking Workshop)
Gleichzeitig verhindert das Blocken von unerwünschten Inhaltem, dass über diese keine Malware eingeschleust werden kann.

  • nur Auf Android für das ganze Sstem anwendbar
  • Bei iOS gibt es Safari Extensions für Content-Filter im Webbrowser
  • Bei iOS ist es möglich die Webe-ID zurückzusetzen

TOR

Implementiert Onion Routing, dh.h. die Daten werden verschlüsselt über meherer Server zum Ziel geleitet. Eine der wenigen wirklich gut funktionierenden Anonymisierungsdienste, aber auch hier keine 100%ige Sicherheit.

Orbot/Orwall (Android)

  • Verbindet sich zum Tor Netzwerk und stellt Browser zur Verfügung
  • Bei Root-Access: Kann den Kompletten Netzwerkverkehr durch das Tor-Netz leiten

OnionBrowser (iOS)

  • Verbindet sich zum Tor Netzwerk und stellt Browser zur Verfügung

Das wichtigste zum Schluss

Benutzt euren gesunden Menschenverstand

Linkliste

Apps

Ausgewählte Angriffe

Weiterführende Informationen

Kontakt

Kritik, Fragen, Anregungen an bibor<at>bastelsuse.org (PGP: EB7759D7,Fingeprint: A4D8 2D50 0C83 F6FF 7D55 A48A E30F 8882 EB77 59D7)

Sofern nicht anders angegeben, steht der Inhalt dieser Seite unter Lizenz Creative Commons Attribution-ShareAlike 3.0 License