Stockholm – Wer glaubt, die persönlichen Nutzungsdaten seines iPhones oder Android-Handys durch eine vierstellige Code-Sperre schützen zu können, wird sich wundern: Die schwedische Security-Firma Micro Systemation http://www.msab.com hat auf YouTube ein Video veröffentlicht, in dem aufgezeigt wird, wie leicht sich die Sicherheitsvorkehrungen der neuesten Hightech-Smartphones umgehen und wichtige User-Daten wie GPS-Lokalisierungsinformationen, Gesprächsprotokolle, Kontakte, Nachrichten und sogar Tastenanschläge „ausspionieren“ lassen. Das Ganze funktioniert mit einer einfachen Applikation namens „XRY“ und dauert weniger als zwei Minuten.
„Von allen Daten, die wir online hinterlassen, sind jene auf Smartphones die interessantesten für Hacker“, stellt der Security-Experte Martin Penzes auf Nachfrage von pressetext klar: „Wer sich hier Zugriff verschaffen kann, weiß, wann und wo sich ein User aufgehalten hat, mit wem er telefoniert hat und was in seinen E-Mails oder Notizen steht.“ Unter Umständen würden die Übeltäter so auch an Bankomat-Pincodes und Kreditkartendaten herankommen. „Ein vierstelliger Zahlencode ist als Schutzmaßnahme zu wenig. Passwörter sollten immer aus einem Mix aus Groß- und Kleinbuchstaben sowie Zahlen und Buchstaben bestehen und mindestens neun Stellen umfassen“, so Penzes.
Funktioniert wie ein Jailbreak
„XRY funktioniert ein wenig wie die Jailbreak-Hacks, die es Usern erlauben, die Installationsbeschränkungen ihrer Geräte außer Kraft zu setzen“, zitiert die Online-Ausgabe des Forbes-Magazins Mike Dickinson, Marketing Director bei Micro Systemation. Dabei würden keine von den Herstellern in ihre Geräte eingebauten „Backdoors“ genutzt, sondern vielmehr Sicherheitslücken, die sich in der Software verstecken. „Um die Codes knacken zu können, müssen wir ständig dem Markt hinterher rennen und die neuesten Betriebssysteme rückentwickeln“, betont Dickinson.
Die Applikation arbeitet folgendermaßen: Nachdem die Sicherheitsbeschränkungen des Handys ausgeschaltet worden sind, errechnet das Tool jede mögliche Zahlenkombination des vierstelligen Codes. Diese werden dann nach und nach geprüft, solange, bis die richtigen Ziffern gefunden sind. Wie in dem YouTube-Video zu sehen ist, dauert dieser Prozess lediglich Sekunden. Anschließend können die User-Daten entschlüsselt und zum Auslesen auf einen PC übertragen werden.
Unterstützung für Polizei und Militär
Zur Beruhigung: Micro Systemation ist kein herkömmliches Security-Unternehmen, das seine Datenspionage-Applikation jedem beliebigen zahlenden Kunden zur Verfügung stellt. Die Firma ist ausschließlich auf die Unterstützung der Ermittlungsarbeit von polizeilichen und militärischen Behören spezialisiert. Diese haben mit dem XRY-Tool die Möglichkeit, in die Smartphones von kriminellen Verdächtigen oder Gefangenen einzudringen, um an wichtige persönliche Daten heranzukommen.
„Auch wenn dieses Tool in diesem Fall nur für polizeiliche Zwecke eingesetzt wird, bleibt doch zu befürchten, dass auch andere Personen mit weniger gutwilligen Motiven über entsprechende Code-Hacking-Möglichkeiten verfügen. Smartphone-User können sich aber mit Security-Programmen, die beispielsweise eine ferngesteuerte Löschfunktion bieten, gegen das Auslesen ihrer Daten wehren“, rät Penzes abschließend.
pressetext.redaktionAnsprechpartner: Markus Steiner
Geknackt: User-Daten auf dem iPhone (Foto: flickr.com/Yutaka Tsutano)