Risiken durch GeräteIDs von Smartphones

risiken

Technik macht verwundbar

Im Zeitalter der Smartphones entwickelt sich die Technik rasant weiter und die heutigen Smartphones sind wahrhafte Alleskönner. Es gibt fast nichts, was diese kleinen Wunderwerke der Technik nicht können und es gibt kaum noch jemanden, der noch kein Smartphone hat. Gleichzeitig steigt aber auch die Komplexität der Geräte und Ihrer Anwendungen, die vor dem Anwender jedoch zumeist hinter einer simplifizierten Oberfläche verborgen wird.

Im Grunde nichts verwerfliches, dennoch schafft gerade das gewisse Probleme in Hinblick auf das Sicherheitsbewusstsein beim Anwender und zum Teil auch bei den Anwendungsentwicklern. Wenn ~95% der Malware Apps die Berechtigung „Read_Phone_State“ anfordert, wird es Zeit sich da einmal näher mit zu befassen.

Mit der Mobilität wird allerdings auch die Problematik der von sogenannten Bewegungsprofilen immer größer. Um Bewegungsprofile erstellen zu können, muss im Grunde nur das Smartphone dauerhaft identifiziert werden können. Hierfür werden gerätegebundene IDs herangezogen um eine eindeutige Zuordnung treffen zu können. Zusätzlich werden dann sogenannte Location-Daten übertragen.

Eben diese Gerätegebundenen und teilweise auch personengebundenen IDs haben es allerdings in sich. Das begründet sich damit, dass einige dieser IDs für sicherheitskritische Anwendungen wie Mobile Banking, SMS, Diebstahlschutz, Zugangs-/Zutrittssysteme und ähnliches genutzt werden.

Aus diesem Grund entstehen im Dunstkreis der Cyberkriminalität auch immer mehr Märkte für “Echte Gerätedaten”, sei es das Software zum Ausspionieren angeboten wird oder eben Listen mit beispielsweise IMEI Nummern, Geräteseriennummern und ähnliches.
Unter anderem werden IMEI Nummern auch gerne von Kriminellen genutzt, um gestohlene Smartphones mit einer anderen IMEI auszustatten, und so zumindest einer oberflächlichen Überprüfung durch Exekutiv-Beamte standzuhalten.

Um welche Daten geht es?

Es gibt verschiedene Nummern (ID’s), die man aus einem Smartphone auslesen und für unterschiedliche Dinge nutzen kann.

Als fixe Hardware ID kommen bei Smartphones mehrere Dinge in Frage.

  • IMEI (international mobile equipment identity) *1
  • Geräte Seriennummer
  • Android_ID


Als variable Hardware ID kommen bei Smartphones mehrere Dinge in Frage.

  • Telefonnummer
  • IMSI (international mobile subscriber identity) *2
  • Simkarten-Seriennummer
  • Telefonie-Modul Serien Nummer (durch Reparatur mglw. änderbar)


Der IMEI fällt hierbei einerseits durch die Verwendung Telefoniebetrieb (GSM) sowie bei anderen Diensten wie bspw. diversen Zutritts-/Zugangssystemen, ein besonders hohes Risiko zu.
Ein gutes Beispiel für die missbräuchliche Verwendung der IMEI ist der nur wenige Tage alte, neuerliche WhatsApp Skandal über den unter anderem auch Heise bereits*3  berichtete.

Wie funktioniert das mit der IMEI?

Grundsätzlich ist, um unter Android auf die IMEI zugreifen zu können, eine Berechtigung notwendig, welche der Anwender bei der Installation einer App bestätigen muss. Die dafür notwendige Berechtigung heißt: READ_PHONE_STATE. Am Smartphone wird das mittlerweile übersetzt in: Anrufe – Telefonstat. u. -ID lesen.
Was man dadurch nicht erfährt,  dass mit dieser Berechtigung gleich auch noch eine Reihe von anderen Informationen für die einfordernde App zugänglich gemacht werden:

  • Telefonnummer,
  • IMEI,
  • IMSI,
  • Aktueller Telefonstatus, (Cell-Infos, Datenübertragung, Anruf usw.)


Ein kundiger Android-Benutzer mag nun anmerken, dass es ja erforderlich wäre auch die Berechtigung “Internet” zu haben, um diese Informationen an Dritte zu übertragen. Leider ist das ein weit verbreiteter Irrtum. Der Entwickler muss lediglich den Browser des Smartphones aufrufen und ihm eine entsprechend präparierte URL beim Aufruf mitliefern. Sofern diese URL nur lang genug ist und die wichtigen Informationen am Ende der URL als Parameter angehängt sind, wird der Anwender es in der Regel nicht mitbekommen, dass seine Daten gerade an Dritte weitergegeben wurden. So könnte eine App beispielsweise einen “Hilfe” Button anbieten der dann den Browser öffnet und eine Hilfe-Seite anbietet. In Wahrheit werden dann aber versteckt die persönlichen Daten weitergegeben. Im Anhang findet sich eine kleine Beispiel-App, welche diese Vorgehensweise eindrucksvoll demonstriert.

Nutzen der IMEI
Für Kriminelle hat die IMEI in vielfältiger Hinsicht möglichen Nutzen.

  • Zugang zu Schließsystemen die auf IMEIs basieren
  • Netzübergreifendes Tracking des Eigentümers
  • Verwendung der IMEI um Diebesgut als Nicht-Diebstahlsware erscheinen zu lassen
  • Verwendung zum Zweck des Identitätsdiebstahls
  • Zur Erlangung von weiteren personenbezogenen Daten

Für Werbenetzwerke bietet die IMEI folgendes:

  • Weltweite Identifikation einer Person/Smartphones
  • Einfachster Zugang durch im SDK vorhandene Funktionen
  • Trackbarkeit über verschiedene Anbietergrenzen hinweg (Datamining)
  • Erstellung von Nutzerprofilen die letztlich einer Person zuzuordnen sind


Für Versicherungen bieten IMEI Listen bspw. folgendes

  • IMEI Listen zur Aufdeckung von Versicherungsbetrugsdelikten


Wie man an dieser Liste klar erkennen kann, sind die Einsatzgebiete von IMEI Nummern weit gestreut und ein guter Grund dem Abgreifen und Sammeln von IMEI Nummern des eigenen Smartphones, entschieden entgegenzutreten. Wie man das kann, werde ich später noch näher erläutern.
Wobei der zuletzt genannte Punkt lediglich der Vollständigkeit halber dienen soll. Einerseits ist Versicherungsbetrug eine Straftat, die zu unterbinden ist, andererseits ist die unerlaubte Beschaffung solcher Informationen aus dubiosen Quellen juristisch auch nicht eben einwandfrei, weswegen ich es als Punkt in die Auflistung mit aufgenommen habe.

Nutzen der IMSI
Die IMSI ist in der letzten Zeit durch TMSI *5 (Temporary Mobile Subscriber Identity) eher uninteressant geworden. (->ID Hopping *5) Nichts desto trotz bietet die IMSI aufgrund Ihrer Struktur Einblick dahingehend, welcher Provider verwendet wird und in  welchem Ursprungsland der Eigentümer einen Mobilvertrag nutzt. Trotz allem und weil die IMSI integraler Bestandteil einer SIM-Karte ist, kann hier ebenfalls eindeutig eine Zuordnung zu einer Person innerhalb eines Betreibernetzwerkes erfolgen.

Für Kriminelle

  • Nutzung der IMSI zur Vortäuschung falscher Identitäten im GSM Betrieb
  • Alles was dazu dient, bspw. Gesprächsinformationen zu sammeln


Für Strafverfolgungsbehörden, Nachrichtendienste

  • IMSI Catching zur Beweismittelerbringung/Überwachung


Für Werbenetzwerke

  • geringer bis kein Nutzen


Alleine durch den Preis von nur rund 1500 Euro für einen IMSI Catcher (Betrieb strafbar, was kriminelle jedoch kaum kümmert) wird dieses Instrument für Kriminelle in zugegeben eher seltenen, aber doch vorkommenden Szenarien, interessant.

Nutzen der Telefonnummer
Die Telefonnummer eines Smartphones wird ihm durch die SIM-Karte/n zugeordnet.
Hier ist der Nutzen für verschiedene Dinge relativ klar ersichtlich. Man möchte von einer unbekannten Person eine Telefonnummer erspähen, um sie anzurufen, sie mit Werbe-SMS zu bombardieren, zu Stalken oder Werbefirmen beauftragen diese Person aufgrund eines bestimmten Rasters mit Werbeanrufen zu beglücken.

Für Kriminelle

  • Verkauf an Werbenetzwerke
  • Nutzung für andere kriminelle Zwecke wie Erpressung u.ä.
  • Nutzung zum Abgreifen von bspw. TANS für Online Banking in besonders lohnenden Fällen


Für Werbenetzwerke

  • Nutzung für Verkaufsanrufe


Auch hier zeigt sich rasch, dass man eigentlich kein Interesse daran zeigen sollte allzu sorglos mit seiner Telefonnummer umzugehen.

Nutzen der Sim-Karten Seriennummer
Die Sim-Karten Seriennummer ist, wie man leicht erraten kann an die Sim-Karte, und in aller Regel an den Provider gebunden. Hieraus ergeben sich nicht allzu viele Nutz-Szenarien für die verschiedenen Zielgruppen.

Für Kriminelle

  • Möglicherweise zur Kopie der Sim-Karte (Identitätsdiebstahl)


Für Werbenetzwerke

  • Theoretischer Nutzen zur Benutzeridentifizierung (eher fraglich da wechselbar)


Hier ist die Gefahr eher als gering einzustufen, jedoch auch nicht zu unterschätzen.

Nutzen der Geräte Serien-Nummer
Die Geräte Seriennummer ist eine ID, welche (in der Theorie) über die gesamte Lebensdauer des Smartphones mit ihm verbunden ist. Angeblich soll es Verfahren geben diese zu ändern, jedoch sind mir bei meiner Recherche keine untergekommen. Diese ID ist im Normalfall relativ eindeutig aus der Hardware eines Gerätes auslesbar.

Für Kriminelle

  • Theoretisch zur Verwendung der Snr. um Diebesgut als Nicht-Diebstahlsware erscheinen zu lassen


Für Werbenetzwerke

  • Zur eindeutigen Identifizierung von Smartphones eines bestimmten Typs


Für Versicherungen

  • Serien-Nummern Listen zur Aufdeckung von Versicherungsbetrugsdelikten (Datamining)


Nutzen der Telefonie-Modul Serien Nummer
Hier muss klar gesagt werden, dass der Nutzen für jegliche Art von Missbrauch als zu gering eingestuft werden muss. Es findet, zumindest zurzeit, eigentlich so gut wie keine Verwendung bei irgendeiner Art von Ausforschung oder kriminellem Aktivismus.

Nutzen der AndroidID
Die AndroidID ist eine vom Betriebssystem des Android-Smartphones vergebene ID, welche laut Google genau vom ersten Bootvorgang des Smartphones bis zum nächsten Full-Wipe (Werks-Zustandsherstellung) gültig ist. Aus diesem Grund verschmähen viele Entwickler diese ID und greifen lieber zur IMEI :) . Trotzdem findet sich mehr und mehr Anwendungen, welche diese Verwenden. Es sei gesagt, dass auch diese ID eine eindeutige Device Zuordnung ermöglicht, ähnlich der der IMEI.

Für Kriminelle

  • Keine zur Zeit bekannte Verwendung


Für Werbetreibende

  • Zur eindeutigen Identifizierung von Smartphones


Für Versicherungen

  • Keine zur Zeit bekannte Verwendung


Hier ist die Gefahr durch Missbrauch aufgrund der Änderbarkeit durch einen Full-Wipe als eher gering anzusehen. Nichts desto trotz sollte man bedenken, dass es eine relativ eindeutige Zuordnung zu einem Device und damit auch seinem Benutzer ermöglicht.

Gut oder böse?
Gleich vorweg, persönlich habe ich im Grunde nichts gegen Werbung in Apps. Werbung ist für Entwickler von Apps eine valide Möglichkeit eine Rückvergütung für Ihre Mühen bei der Erstellung der Apps zu bekommen, kurz, Geld zu verdienen.
Aber wie so oft, kann man Dinge eben so und so realisieren. Manche Werbenetzwerke setzen leider mit einer eher schlechten Implementierung die Nutzer der Apps in welche ihr Framework integriert ist, unnötigen Gefahren aus. Das sieht dann so aus, dass die Informationen in Klartext und komplett unverschlüsselt übertragen werden. Dabei wäre es doch so einfach. Die Frameworks müssten lediglich die zu übertragenen Informationen verschlüsseln. Einige Frameworks tun das bereits. Leider noch bei weitem nicht alle. Je nach gewählter Methodik sind das nicht mehr als 2 bis 50 Zeilen Programmcode. Darüber hinaus wäre es ein leichtes, diese Informationen dann auch noch über eine relativ abhörsichere SSL-Verbindung (HTTPS) zu übertragen. So gesichert haben Datendiebe in an sich ungesicherten, offenen Wlan’s keine Chance mehr diesen Datenverkehr zu belauschen.

Viele Informationen, aber wie kann ich mich schützen?
Zum Schutz der Privatsphäre gibt es grundsätzlich zwei Ansätze, den physischen und den vorbeugenden Schutz . Der physische Schutz bezieht sich dabei darauf, das Smartphone dem direkten Zugriff durch Dritte zu entziehen. Der virtuelle Schutz meint im Gegensatz dazu, bei der Installation von Software den sogenannten GMV (Gesunden Menschen Verstand) einzuschalten.

In der folgenden kurzen Aufzählung möchte ich darlegen, mit welch einfachen Mitteln, man sich gegen Angreifer und Datensammler schützen kann. All das kann kein Allumfassender und alle Szenarien berücksichtigender Schutz sein, jedoch ist es der essentielle Anfang aller Vorkehrungen.

Physischer Schutz

  • Überlasse niemals Dein Smartphone unbeaufsichtigt dem Zugriff Dritter! (Auch nicht vermeintlich guten Freunden! Ein Scherz kann schnell einmal in einem Daten-Desaster enden!)
  • Sichere Dein Smartphone gegenüber Fremdzugriff durch einen PIN/Passwort bei Deaktivierung des Bildschirm-Timeouts.
  • Deaktiviere jedenfalls die Debug-Option in den Einstellungen des Android-Smartphones. und aktiviere diese wirklich nur bei entsprechendem Bedarf!
  • Roote Dein Smartphone nicht, wenn Du nicht wirklich genau weißt, was Du damit machst!
  • Wenn es Dein privates Smartphone ist, haben Firmendaten ohne entsprechende Schutzmaßnahmen darauf nichts verloren!
  • Verwende nach Möglichkeit keine offenen, freien Wlan Access-Points. MC-Donalds oder Starbucks bieten beispielsweise solche Netzwerke an und sind beliebter Treffpunkt für Lauscher, die es auf Deine Daten abgesehen haben.
  • Deaktiviere unbedingt Wlan wenn es nicht benötigt wird. (Dein Smartphone könnte sich ggf. unbemerkt in ein offenes Wlan einbuchen!)
  • Deaktiviere unbedingt Bluetooth wenn es nicht benötigt wird. (Es gibt ggf. Mittel und Wege sich darüber Zugriff auf Dein Smartphone zu verschaffen!)

Vorbeugender Schutz

  • Installiere Apps nur aus “Vertrauenswürdigen Quellen” – zum Beispiel dem Google Play Store
  • Installiere KEINE Apps aus Nicht vertrauenswürdigen Quellen wie bspw. Asiatischen Dritt-Appstores oder anderen dubiosen Quellen.
  • Auch wenn Du Apps aus “Vertrauenswürdigen Quellen” wie dem Google Play Store installierst, benutze Deinen gesunden Menschenverstand. Eine Taschenlampen-App wird keine Berechtigung für Kontakte und/oder Internet benötigen oder Zugriff auf die IMEI benötigen.
  • Deaktiviere den Debug Modus in den Entwickler Einstellungen.
  • Lies vor der Installation einer App auch die Bewertungen einer App. In aller Regel werden bösartige Apps, die es tatsächlich in einen vertrauenswürdigen App-Store geschafft haben, auch entsprechend negative Bewertungen haben. Lies ruhig mehr als nur die erste Seite, die Bösen Buben schlafen in der Regel nicht und sind mitunter sehr schnell mit Fake-Bewertungen bei der Stelle!
  • Notiere Dir die IMEI Nummer und die Geräte-Seriennummer Deines Smartphones, um gemeinsam mit der Hotline Deines Providers, im Fall von Diebstahl oder Verlust, rasch eine Sperre des Telefons veranlassen zu können.
    (Die IMEI kannst Du auslesen, wenn Du *#06# ins Telefon eintippst.)
  • Sollte Dein Smartphonehersteller Services zur Device-Löschung/Lokalisierung anbieten, so registriere Dich dort! (Im Falle des Falles könnte es Dir von Nutzen sein!)


Was kann man noch tun?
Es gibt einige Apps, die uns dabei unterstützen können, Apps zu finden, die Werbenetzwerke nutzen und welche Daten diese sammeln. Eine dieser Apps ist beispielsweise der Ad Network Detector von Lookout. Diese App bietet darüber hinaus die Möglichkeit, bei manchen der Werbenetzwerke ein sogenanntes OptOut zu vollziehen. Man bekommt zwar weiter Werbebanner serviert, allerdings wird das Nutzerverhalten wird nicht mehr ausgewertet und die angezeigten Werbebanner sind nicht mehr auf den Benutzer abgestimmt.

Der Ad Network Detector ist im Google Play Store kostenlos herunter zu laden.
https://play.google.com/store/apps/details?id=com.lookout.addetector

Eine weitere recht nützliche App ist der sogenannte Addons Detector. Auch diese App filtert aus den installierten Apps jene heraus, welche Daten an Werbenetzwerke übermitteln. Allerdings erfährt man hier im Gegensatz zum Ad Network Detector nicht, welche Daten übermittelt werden und ob das jeweilige Werbenetzwerk diese Daten bspw. verschlüsselt oder in Klartext überträgt. Der Addons Detector zeigt dafür die von der jeweiligen App geforderten Berechtigungen direkt an.
Der Addons Detector ist ebenfalls kostenlos im Google PlayStore erhältlich.
https://play.google.com/store/apps/details?id=com.denper.addonsdetector

Verweise:
*1 http://de.wikipedia.org/wiki/IMEI
*2 http://de.wikipedia.org/wiki/International_Mobile_Subscriber_Identity
*3 http://www.heise.de/security/meldung/Erneut-Account-Klau-bei-WhatsApp-moeglich-1756224.html
*4 Demoapp UniqueID:  https://play.google.com/store/apps/details?id=com.voss.uniqueid
*5 ID Hopping   http://de.wikipedia.org/wiki/Temporary_Mobile_Subscriber_Identity

Generelle Informationen
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02188.html

Was beispielsweise mit Locationdaten möglich ist zeigt diese Website sehr eindrucksvoll
http://www.zeit.http://www.zeit.de/datenschutz/malte-spitz-vorratsdatende/datenschutz/malte-spitz-vorratsdaten

Statistik zu Berechtigungen die Malwareapps anfordern:
https://sites.google.com/site/androidmalrepo/permission-stats

Mein sehr wertschätzender Dank für die Unterstützung bei diesem Artikel geht an:
Kay, Immo, Peter, Markus und Andreas ! Euer Input und Eure Meinungen haben wie immer sehr geholfen.

Tagged , , , , , , , , , , .Speichere in deinen Favoriten diesen permalink.

3 Antworten zu Risiken durch GeräteIDs von Smartphones

  1. Theresa sagt:

    Sehr interessanter Artikel.
    Als Laie hat man ja kaum eine Ahnung von solchen Dingen.
    Vielen Dank dafür, werde diesen Blog weiter empfehlen.

  2. Ani sagt:

    liebe leute,
    ich nutze das smartphone weil es wirklich so viele möglichkeiten bietet.
    aber ich bin stinksauer, dass fast jedes app auf meine wichtigen daten zugreifen will.
    als laie habe ich aber kaum die möglichkeit mich effektiv zu schützen, ausser keine apps zu nutzen. das kann nicht die lösung sein.
    daher ist euer beitrag u. weitere aufklärung enorm wichtig.
    gerade für laien.
    bitte macht weiter so.
    lg. ani

  3. sirklein sagt:

    *** ABSOLUT interessant!!! & SEHR BEACHTENSWERT! ***
    DiCKES DANKE für diese Info!!!

    …Denke jedoch, dass…
    – sich kaum ein User tatsächlich darüber Gedanken macht!:-(
    – ich schon längst im Zeitalter des „gläsernen Sklaven“ leben muss!
    – ich mich momentan absolut noch nicht gegen die Überwachung der Privatsphäre wehren kann!

    wie auch immer…
    DaNkE & bleibt am „Ball“!

    herzliche Grüsse sendet
    sirklein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert