In-App Purchases and Security Risks

Questions and Answers

Was ist eine App?

Eine App ist ein Programm, das auf einem Smartphone installiert und ausgeführt werden kann.

Was ist eine der Funktionen einer kleinen Kontaktdatenbank auf einem Smartphone?

Eine der Funktionen ist, dass man bequem einen Eintrag der Kontaktliste auswählen und diesen direkt anrufen kann, anstatt lange Telefonnummern einzutippen.

Was bedeutet es, wenn ein Smartphone ständig mit dem Internet verbunden ist?

Es bedeutet, dass das Smartphone Webanwendungen benutzen und Daten aus dem Internet laden, aber auch Daten ins Internet senden kann.

Welche Funktion hat ein GPS-Empfänger in modernen Smartphones?

Ein GPS-Empfänger ermöglicht es, den jeweiligen Standort des Smartphones zu bestimmen.

Welche Art von Programmen können auf modernen Smartphones ausgeführt werden?

Moderne Smartphones können Spiele, Anwendungen, die vom Standort des Smartphones abhängen, sowie Büroanwendungen ausführen.

Wie charakterisieren Asokan et al. Smartphones anhand welcher drei Eigenschaften?

Asokan et al. charakterisieren Smartphones anhand von Programme (Apps), ständiger Internetverbindung und GPS-Empfänger.

Warum ist das Paradigma 'Always-on' für technisch weniger versierte Nutzer oft wichtiger als der Sicherheitsstatus der WLAN-Netzwerke?

Weil sie sich oft über Gefahren im Hinblick auf die Sicherheit ihrer Geräte und den Schutz ihrer Informationen nicht bewusst sind.

Warum ist die ungeprüfte Installation von Apps in Bezug auf die Sicherheit von Endgeräten bedenklich?

Weil Nutzer meist geringes Wissen über die Vermeidung von Sicherheitsproblemen und über Mechanismen zum Schutz ihrer Informationen auf ihren Geräten haben.

Warum werden Anfragen von Apps, Berechtigungen zu geben, oft bedenkenlos bewilligt?

Weil der Zweck solch einer Anfrage wenig Sinn macht (falls er überhaupt erklärt wird).

Warum werden Apps aus externen (unbekannten) Quellen insbesondere unter Android installiert, trotz eingeblendeter Warnungen des Systems?

Weil entsprechende Risiken in Kauf genommen werden.

Warum werden wichtige oder sensible Daten auf den Endgeräten zumeist nicht verschlüsselt abgelegt?

Weil es für Angreifer leicht ist, an persönliche Informationen zu gelangen.

Warum ist es wichtig, Sicherheitsfunktionen in mobilen Endgeräten standardmäßig zu aktivieren und die Angestellten in sicherheitsbezogenen Praktiken zu schulen?

Um Sicherheitsrisiken zu minimieren.

Was ist die Basis der Struktur der gemeinsamen in Schichten angeordneten Systemstruktur für alle Smartphones?

Die Hardware des Smartphones.

Was ist die Platform Security Architecture?

Eine Menge von Software-Komponenten, die einerseits die zugrunde liegende Hardware ansprechen und andererseits von den darüber liegenden Anwendungen und Diensten benutzt werden.

Was sind die drei Grundprinzipien, die jede Plattform erfüllen muss?

1. Isolierung der Programme 2. Zugriffskontrollmodell 3. Digital signierte Programme

Warum ist Softwareverteilung über das Internet problematisch?

Weil ein Benutzer nicht ohne weiteres erkennen kann, ob es sich um einen seriösen Anbieter oder einen Hacker handelt.

Was versteht man unter einem trojanischen Pferd?

Ein Programm, das neben der angepriesenen Funktion auch weitere unbekannte Funktionen enthält

Welche Bedrohung stellt Social Engineering dar?

Die Ausnutzung von Gutgläubigkeit oder Wohlwollen, um Schadcode zu installieren und auszuführen

Wie können persönliche Bilder in der Standard-Galerie-App als gefährlich angesehen werden?

Die unverschlüsselte Speicherung ermöglicht einem Angreifer den Zugriff auf die Bilder

Welche Bedrohung stellen drahtlose Datenübertragungen für mobile Geräte dar?

Datenübertragung über Funk lässt sich einfacher abhören oder manipulieren als kabelgebundene Übertragung

Wie können mobile Geräte durch Designfehler in der SMS-Architektur bedroht werden?

Designfehler können ausgenutzt werden, um Schadcode einzuschleusen

Warum sind mobile Geräte durch Bluetooth-Verbindungen gefährdet?

Schadhafter Code kann zwischen Geräten übertragen werden

Welche finanziellen Schäden können durch Mehrwert-Dienste in Telefonnetzen entstehen?

Programme, die ständig solche Nummern anrufen, können den Besitzer des Smartphones teuer zu stehen kommen lassen

Wie kann ein Angreifer das MTAN-Verfahren beim Internet-Banking ausnutzen?

Ein Programm auf dem Smartphone kann die SMS der Bank im Hintergrund abfangen und an den Angreifer umleiten

Warum sind die Bezahlinformationen oder ein Guthaben beim App Store eine potenzielle Schwachstelle für Smartphone-Benutzer?

Programme können die hinterlegten Bezahlinformationen oder das Guthaben ausnutzen

Was wird durch den Einsatz von WPA3 beim eigenen WLAN zu Hause geschützt?

Das eigene WLAN kann vor Abhören geschützt werden

Welche Abschottungsmechanismen bieten moderne Betriebssysteme für mobile Geräte?

Spezielle Abschottungsmechanismen zwischen den laufenden Programmen

Wodurch setzen sich Nutzer bewusst Angreifern aus?

Durch das Senden des persönlichen Aufenthaltsortes in sozialen Netzwerken

Was sind In-App-Käufe?

In-App-Käufe sind der Kauf von zusätzlichen Komponenten oder Diensten innerhalb einer bereits heruntergeladenen Anwendung.

Welche Gefahr könnte von einer bösartigen App ausgehen?

Eine bösartige App könnte Benutzer dazu bringen, ihr Guthaben für nutzlose Dienste auszugeben.

Was ist das Hauptinteresse eines Smartphone-Benutzers?

Das Hauptinteresse eines Smartphone-Benutzers liegt darin, dass seine Daten sicher sind und das Gerät keine unerwünschten Aktionen ausführt. Außerdem möchte der Benutzer die Freiheit haben, beliebige Software zu installieren.

Wer sind die beteiligten Parteien beim Einsatz von Smartphones?

Die beteiligten Parteien beim Einsatz von Smartphones sind Benutzer, Hardware-Hersteller, Netzbetreiber, Software-Entwickler und Dienstanbieter, Plattform-Anbieter, Marktplatzbetreiber und Administratoren.

Was sind die Schutzziele des Hardware-Herstellers?

Die Schutzziele des Hardware-Herstellers sind primär durch den Besitzer des Gerätes (der legitime oder ein Dieb) gefährdet.

Warum haben Netzbetreiber spezielle Interessen an Smartphones?

Netzbetreiber haben spezielle Interessen an Smartphones, da sie subventionierte Geräte nur im eigenen Netz betreiben möchten und bestimmte Programme nicht vom Benutzer installiert werden sollen, um ihre kostenpflichtigen Dienste zu fördern.

Was ist das Hauptinteresse von Software-Entwicklern und Dienstanbietern?

Software-Entwickler und Dienstanbieter möchten beliebige Anwendungen installieren und den kompletten Funktionsumfang des Smartphones in der Anwendung einsetzen können, ohne dass die Benutzer die Anwendung kopieren oder auf die Daten zugreifen können.

Welche Verantwortung hat der Anbieter des Betriebssystems?

Der Anbieter des Betriebssystems ist für die Implementierung, Bereitstellung, Pflege und Support des Betriebssystems verantwortlich. Er muss auch regelmäßige Updates bereitstellen, um das Vertrauen seiner Nutzer und Kunden nicht zu verlieren.

Wer legt die Regeln fest, wie zusätzliche Software auf das Smartphone kommen soll?

Der Plattform-Anbieter legt die Regeln fest, wie zusätzliche Software auf das Smartphone kommen soll.

Was sind Marktplatzbetreiber?

Marktplatzbetreiber sind diejenigen, die Programme für Smartphones über einen Marktplatz vertreiben, wie z.B. App Stores. Sie haben ein Geschäftsmodell und verdienen am Verkauf der Software für die Smartphones.

Was sind die Sorgen von Administratoren, wenn Smartphones von Arbeitgebern gestellt werden?

Administratoren möchten sicherstellen, dass vertrauliche Firmendaten nicht durch die private Nutzung des Smartphones gefährdet werden. Sie befürchten zusätzliche Gefährdungen durch privat installierte Apps.

Was setzt Nutzer durch ihr eigenes Verhalten im Umgang mit Smartphones einer erhöhten Gefahr aus?

Durch ihr eigenes Verhalten setzen Nutzer sich und ihre persönlichen Informationen einer erhöhten Gefahr aus.

Warum ist es schwierig, Programme auf ihre Sicherheit zu überprüfen?

Es ist schwierig, weil man nicht automatisch herausfinden kann, ob ein Programm etwas "böses" macht oder nicht.

Was muss der Benutzer kontrollieren können, wenn er ein Programm installieren möchte?

Der Benutzer muss kontrollieren können, welche Berechtigungen das Programm bekommen soll.

Warum muss das System eine vereinfachte Abstraktion des Berechtigungsmodells anbieten?

Das System muss eine vereinfachte Abstraktion anbieten, damit der Benutzer sich nicht mit den vielen Details der Berechtigungen beschäftigen muss.

Warum ist es wichtig, dem Benutzer nur verständliche Abstraktionen anzubieten?

Es ist wichtig, dem Benutzer nur verständliche Abstraktionen anzubieten, damit er die Entscheidungen nachvollziehen und treffen kann.

Warum dürfen die Benutzerentscheidungen nicht nachträglich von der Anwendung verändert werden können?

Die Benutzerentscheidungen dürfen nicht nachträglich von der Anwendung verändert werden, um die Sicherheit zu gewährleisten.

Was muss das Betriebssystem auf dem Smartphone realisieren, um die Sicherheit zu gewährleisten?

Das Betriebssystem muss eine Benutzerverwaltung realisieren und alle Zugriffe von Programmen auf kritische Ressourcen vorab überprüfen.

Warum müssen Laufzeitumgebungen verhindern, dass Anwendungen das Berechtigungssystem umgehen können?

Laufzeitumgebungen müssen verhindern, dass Anwendungen das Berechtigungssystem umgehen, um die Sicherheit zu gewährleisten.

Warum müssen persistent gespeicherte Daten auf Speicherkarten verschlüsselt sein?

Persistent gespeicherte Daten auf Speicherkarten müssen verschlüsselt sein, damit die Vertraulichkeit der Daten auch nach Verlust der Speicherkarte gewahrt bleibt.

Warum ist es wichtig, dass die Laufzeitumgebung transparent für den Programmierer die erforderliche Verschlüsselung durchführt?

Es ist wichtig, damit die Programme wie immer geschrieben werden können, ohne sich selbst um die Verschlüsselung der Daten kümmern zu müssen.

Warum müssen Netzverbindungen auf Smartphones immer verschlüsselt werden?

Netzverbindungen auf Smartphones müssen immer verschlüsselt werden, um die Sicherheit zu gewährleisten, insbesondere in unsicheren WLANs.

Was ermöglichen die virtuellen Maschinen in den Betriebssystemen von Smartphones?

Die virtuellen Maschinen ermöglichen die Trennung nicht nur einzelner Prozesse, sondern auch kompletter virtueller Computer voneinander.

Welche Art von Software gehört zu einem Smartphone-Betriebssystem, um die Sicherheit zu gewährleisten?

Virtual Private Network (VPN)-Software gehört zu einem Smartphone-Betriebssystem, um die Sicherheit zu gewährleisten.

Was sind einige allgemeine Bedrohungen im mobilen Kontext, denen Smartphones und vergleichbare mobile Endgeräte sowie ihre Nutzer unterliegen?

Verlust des Endgerätes, spionierende Anwendungen, manipulierte Anwendungen

Was sind die Folgen des Verlusts eines Smartphones?

Der Dieb oder unredliche Finder soll das Gerät nicht benutzen und auf Kosten des legitimen Eigentümers kommunizieren können. Ein Dieb könnte möglicherweise mit dem Smartphone alle Daten des Benutzers mitlesen.

Welche Daten können in der Cloud gespeichert werden und warum ist Verschlüsselung wichtig?

Benutzerdaten, Kalender, Dokumente, Fotos; Verschlüsselung ist wichtig, um zu verhindern, dass andere diese Daten mitlesen können.

Welche Rolle spielt das GPS-Modul im Zusammenhang mit spionierenden Anwendungen?

Das GPS-Modul im Smartphone ermöglicht es den dort installierten Programmen, den Aufenthaltsort des Besitzers zu verfolgen.

Was können Programme mit den Aufenthaltsdaten des Besitzers machen?

Programme können diese Daten kommerziell verwerten, um Beziehungsnetze zu erstellen und für Marketingzwecke zu nutzen.

Was sind einige Beispiele für Daten, die kommerziell interessant sind?

Persönliche Kontaktlisten, Kontaktdaten von Familie, Freunden, Kollegen; andere persönliche Informationen wie Hobbys oder Interessen

Wie werden neue Programme normalerweise auf einem Smartphone installiert?

Neue Programme werden normalerweise aus dem Internet geladen und dann installiert.

Was sind die Herausforderungen bei der Erkennung manipulierter Programme beim Herunterladen?

Es ist schwierig zu erkennen, ob ein Programm beim Herunterladen unbemerkt manipuliert wurde.

Was sind die typischen Vertriebskanäle für neue Programme bei den verbreiteten Systemen Android und iOS?

Die verbreiteten Systeme Android und iOS haben sogenannte App Stores, in denen im Prinzip jeder Entwickler seine Programme anbieten kann.

Welche Sicherheitsprobleme ergeben sich, wenn private und vertrauliche Daten auf dem Smartphone liegen?

Es ergeben sich eine Reihe von Sicherheitsproblemen, insbesondere im Zusammenhang mit dem Verlust des Endgerätes, Spionierenden Anwendungen und manipulierten Anwendungen.

Welche Rolle spielt der PIN-Mechanismus im Zusammenhang mit dem Verlust des Smartphones?

Der PIN-Mechanismus wird benutzt, um zu verhindern, dass ein Dieb das Gerät benutzen und auf Kosten des legitimen Eigentümers kommunizieren kann.

Warum ist es wichtig, dass die Cloud einen guten und sicheren Mechanismus zur Benutzerauthentifizierung einsetzt?

Es ist wichtig, um zu verhindern, dass andere die Benutzerdaten mitlesen können.

Was ist Enterprise Mobility Management (EMM) und welche Rolle spielt es im Kontext von BYOD?

EMM ist eine spezielle Lösung, die es Firmen ermöglicht, eine Vielzahl mobiler Geräte ihrer Angestellten zu administrieren. Sie dient dazu, die geschäftlichen und privaten Anwendungen oder Daten auf Smartphones zu verwalten und zu separieren.

Welche Funktionen unterstützen die Lösungen für Enterprise Mobility Management (EMM) in Bezug auf die Verwaltung von mobilen Geräten?

Die Lösungen für EMM unterstützen eine weitreichende Verwaltung von Nutzerrollen, Berechtigungen, Gerätefunktionen, Systemeinstellungen, App Stores, Apps und das Tracking verwalteter Geräte.

Was bedeutet die Abkürzung BYOD und wie kann das Paradigma 'Bring Your Own Device' umgesetzt werden?

BYOD steht für 'Bring Your Own Device' und bezieht sich darauf, dass Mitarbeiter ihre eigenen Geräte für berufliche Zwecke nutzen. Dies kann durch unterschiedliche Strategien umgesetzt werden, beispielsweise durch die Verwaltung von geschäftlichen und privaten Anwendungen oder Daten auf einem Smartphone.

Welche Sicherheitsaspekte sind im Zusammenhang mit BYOD und der Verwaltung von geschäftlichen und privaten Anwendungen oder Daten auf Smartphones von Bedeutung?

Die Trennung der geschäftlichen und privaten Bereiche, die Anwendung unterschiedlicher Security-Policies und die feingranulare Steuerung der betreuten oder administrierten Geräte sind wichtige Sicherheitsaspekte im Zusammenhang mit BYOD.

Warum ist es sinnvoll, auf einem Smartphone die geschäftlichen und privaten Anwendungen oder Daten gemeinsam zu speichern und zu verwalten?

Es ist sinnvoll, geschäftliche und private Anwendungen oder Daten gemeinsam zu speichern und zu verwalten, um eine Trennung der Bereiche vorzunehmen und unterschiedliche Security-Policies anzuwenden.

Welche Rolle spielen Profile bei der Verwaltung von mobilen Geräten im Kontext von Enterprise Mobility Management?

Profile werden genutzt, um die betreuten oder administrierten Geräte feingranular zu steuern, beispielsweise um festzulegen, welche Aktionen der Nutzer auf dem Gerät ausführen darf.