Trojanerflut für Android Devices

So oder so ähnlich titeln einige bekannte Internetzeitungen. Solche Titel stoßen mir immer etwas sauer auf. Zitiert werden oft Aussagen namhafter Anti-Virussoftware-Hersteller, ohne aber etwas genauer darauf einzugehen.

Wann kommt die Flut?

Genau hier möchte ich gleich mal einhaken. Die Flut kommt nicht „von selbst“ aufs Smartphone. Nein! Es ist immer noch so, dass es eine Userinteraktion benötigt, um sich vermeintlich böse Software auf das Smartphone zu laden.

Natürlich kommt diese böse App aus dem Android-Market. Die „neuesten Schädlinge“ dürften offenbar darauf abzielen, Werbung einzublenden und die Browser Startseite zu ändern. Klinkgt nicht so schlimm, ist wohl eher als Adware einzustufen und kann -wenn man den Artikeln glauben schenkt, einfach über die Deinstallation vom Smartphone entfernt werden.

Android – ein offenes System! Klar, dass es unsicher ist?!

Für den nächsten „sauren Aufstoßer“ sorgen Statements die Android deshalb als unsicher bezeichnen, weil es ja ein offenes System ist. Meiner Meinung nach ist das ganz klar ein riesengroßer Blödsinn!

Nur weil es Opensource ist, ist es nicht unsicher. Ganz im Gegenteil! Fehler werden hier viel schneller von der Community gefunden, wie bei Anbietern von „closed source“ Software. Was allerdings vor allem auf den Android-Smartphone-Sektor zutrifft ist, dass bekannt gewordene Sicherheitslücken wohl nicht so schnell gepatcht werden, da die Freigabe dieser Patches nicht nur Google und den Herstellern diverser Smartphones obliegt, sondern vor allem den jeweiligen Netzbetreibern.

Die größte Sicherheitslücke

Ohne Frage der Smartphone-User selbst. Mir ist kein Fall bekannt, in dem sich ein Schädling von selbst (over the air?) im Smartphone festsetzt. Es ist immer so, dass der Anwender -ohne viel zu denken und zu lesen- zig Apps aufs Smartphone zieht und sich das Problem selbst „einschleppt“.

Klar ist auch, dass ein gerootetes Smartphone einem höheren Risiko unterliegt, durch Fehleinschätzung und Leichtsinn des Anwenders, Schaden durch Malware zu erleiden. Schließlich hat man ja durch die Rootrechte umfassenden, ja Komplettzugriff, auf das System.

Verwendet doch einfach zuerst eure Hirn-Applikation 😉

Das Angebot an Apps ist unüberschaubar. Deshalb gilt: Die erste Bastion der Verteidigung ist euer Hirn.

  • Bewertungen im Market lesen.
  • Beachten, wie viele User die App bereits installiert haben.
  • Besonderes Augenmerk auf die Berechtigungen legen, die eine App sich einräumt. Wird hier unvollziehbares gefordert (z.b. wenn ein Game Zugriff auf das Telefonbuch haben will und vielleicht sogar noch Nummern wählen will…) auf die App verzichten.
  • Wenn man will, kann man sich auch noch eine Antivirensoftware installieren.

Android – OS und die Flashsucht…

Wenn ich mich kurz zurück erinnere, wie gestrichen voll ich die Hosen damals hatte, als ich mein Samsung Galaxy S1 das erste mal mit Odin auf eine neuere Firmware geflasht habe, muss ich heute beinahe lachen.

Mittlerweile hab ich alle Gingerbread Versionen „durch“, bin kurz mit Miui (Galnet) unterwegs gewesen, habe sehr oft das ÖSTERREICHISCHE Rom von Goa installiert gehabt und bin im Moment auf  Android 4.01 – Cyanogen Mod V9.

Läuft alles sehr rund und stabil und gefällt mir recht gut!

Infos rund um den Cyanogen-Mod und ICS

Falls ihr Experimente startet, denkt bitte unbedingt an ein BACKUP eures Smartphone. (Stichwort /efs Ordner, nvdata.bin)

Abseits der Flasherei konnte ich mich letzte Woche auch mit der Thematik des mobilen „Apfelendgerätes“ befassen und bin zu dem Schluß gekommen, dass eine derart gekapselte und verschlossene Systematik mir gar nicht liegt. Unglaublich was einem da alles „diktiert“ wird.

Da bleib ich lieber root und darf das!

 

Wichtigkeit eines Backup des /efs Ordners des Samsung Galaxy S (Roaming DREI)

Ich poste hier eine 1:1 Kopie dessen, was ich auch im Forum android-Hilfe.de gepostet habe:

Ich habe heute ein SGS1 von Gingerbread 2.3.3 auf 2.3.4 (JVR) gebracht, danach auf Darkcore Kernel.

Abschließend dann noch die GOA-Custom Firmware auf dem Handy installiert.

So und nach einen Wipe und Factory Reset hatte ich dann das Problem, dass das DREI Handy nur noch roamte bzw. bei ausgeschaltetem Roaming keine Einbuchung in das Netz von 3 (Anzeige am Sperrscreen 3AT) mehr möglich war.

Internetseitig gab es nur noch Edge, was ganz klar darauf hindeutete dass das Handy über A1 fährt. Auch der Sperrscreen zeigte nur ein 3. Ein nächstes Indiz dafür dass sich das SGS wohl nicht richtig im DREI AT Netz einbuchen konnte.

Erster Gedanke: Naja spiel ich halt meine modifizierte spn-conf.xml ein. Also eingespielt, Handy aus und wieder ein geschaltet. Und…… noch immer nix, kein HSDPA, nur Edge kein 3AT nur 3(A1).

Nachdem ich ja IMMER eine Sicherung des EFS Ordners (…die nv_data.*) durchführe, bevor ich experimente starte, hab ich die Originaldateien von der Datensicherung wieder auf das SGS gespielt.

Das Handy neu gestartet, dann Paketdaten deaktivert – etwas gewartet – und Paketdaten wieder aktiviert.

Und siehe da: HSDPA , Netz = 3AT Sperrscreen = 3AT

Ich nehme deshalb an, dass es sowohl an der nv_data.* liegt UND an der modifizierten spn-conf.xml. (siehe Beitrag über Roaming)

BITTE IMMER eine Datensicherung Ordner /efs -> nv_data*.* durchführen BEVOR IHR IRGENDETWAS am Originalzustand des SGS ändert! Am Besten gleich die spn-conf.xml mitsichern! Die nv_data kann auch mit dem Product Code Checker gesichert werden. Anleitungen hierfür im Forum android-hilfe.de

Der böse Banking Trojaner ZeuS

Gerade eben wurde ich von einer Rechnung dazu genötigt, eine Überweisung zu tätigen. 🙂

Wie immer mach ich das mit Internetbanking. Wenn ich mir das so recht überlege, weiß ich gar nicht mehr, wann ich damit angefangen habe.

Genau erinnern kann ich mich aber an die Unkenrufe….  „Um Gottes Willen, da räumen sie dir dein Konto leer“, „das ist ja sooooooo gefährlich..“ „ich würd das nie machen“ und „wie kannst du nur …!“ Ja, wie kann ich mir nur den Weg zur Bank ersparen!

Jedenfalls springt mir nach dem einloggen  eine fette Meldung entgegen, die mir mitteilt, dass vermehrt Probleme mit Kunden auftreten, die offenbar von einem Trojaner (ZeuS?) befallen worden sind. Ähm sorry, nicht die Kunden wurden befallen, die PC / Smartphones der Kunden natürlich…

Grundsätzlich würde ich sagen, dass Onlinebanking eine recht sichere Sache ist, wenn man ein paar Kleinigkeiten beachtet.

Übrigens… amüsant finde ich, dass viele der Leute, die damals aufgeschrien haben, heute  dem virtuellen Striptease in Facebook frönen.

Aja! – vergessen! Ausserdem müssen ja alle Apps noch auf dem Smartphone haben, möglichst permanent online sein und weils so toll ist, nehmen wir gleich „Geotagging“ zu den Statusmeldungen dazu, damit der jeweilige Profilstalker gleich sieht, wo man ist und wann man welche Toilette aufgesucht hat!

Gelesen werden am Smartphone wenn – dann maximal – Facebookstatusmeldungen. Abseits dessen wird installiert auf Teufel komm raus! Welche Updates da grade angepriesen werden, betrachtet man natürlich nicht genauer… ist ja uninteressant.

Jeder kann es (installieren), viele wissen aber gar nicht, was sie tun. Solange am Schluss, das Smartphone macht, was man will, ist die Welt in Ordnung.

Wenn man in diesem Zusammenhang dann vielleicht noch Internetbanking am Smartphone verwendet, dann kann ich wirklich nur eines sagen:

SELBER SCHULD!

Viele der Apps, die den Weg aufs Smartphone finden, sind kostenlos, jedoch sehr informationshungrig. Man sollte auf jeden Fall lesen, was man installiert UND auch darauf achten, worauf die installierte App zugriff bekommt/verlangt. Teilweise ist das eine bodenlose Frechheit!

Die Palette reicht von „braven“ Anwendungen bis hin zu Apps, die mehr oder minder vollen Zugriff auf das Phone verlangen (GPS, Telefonbuch, Anrufliste, Telefonierverhalten… usw.) Und niemand weiss, was da im Hintergrund wirklich „abgeht“.

Fazit

  • Kein Internetbanking über Smartphone
  • Hirn einschalten bei der Installation von Anwendungen (am PC und am Smartphone)
  • Bestenfalls Nutzung einer digitalen Signatur zum Login (in Österreich zum Beispiel die Bürgerkarte).
  • Einsatz einer Linuxdistribution (sicherheitstechnisch nach wie vor für mich die Nr. 1)
  • Verwendung eines sicheren Browser (z.B. Opera)

 

 

 

Android OS Samsung Galaxy S und Datenroaming (national / international)

Bei den neueren Android OS ist es leider so, dass es nicht mehr die Möglichkeit gibt, zwischen nationalem und internationalem Roaming zu unterscheiden. In Verbindung mit Netzbetreibern, die bei fehlender eigener Netzabdeckung auf ein Partnernetz ausweichen, kann das zum Problem werden, falls man seine Firmware selbst (Stichwort Odin) flasht, oder Kies mit einem modifizierten Productcode überlistet. Hierbei wird dann nämlich die providereigene Firmware überschrieben, die die Option nationales/internationales Roaming oft noch zur Verfügung stellt.

Am Beispiel des Netzanbieters 3 (DREI) wird zum Beispiel auf das A1 Netz zurückgegriffen, wenn es keinen oder nur schlechten Empfang im 3 Netz gibt. Es wird also Roaming betrieben. Genau genommen ist das nationales Roaming. Konnte man nun in älteren Android OS Versionen noch zwischen nationalem Roaming und internationalem Roaming unterscheiden, geht das -wie bereits oben erwähnt- bei neueren Versionen (zb Gingerbread) nicht mehr. Es sei denn, der Provider bietet eine modifizierte Version des Androidbetriebssystemes an. Hier in Österreich wird das Thema Androidaktualisierung etwas stiefkindlich betrachtet, weshalb man oft selbst seine Firmware flasht.

Selbstflasher

Nachdem man die Originalfirmware des Smartphone überschrieben hat, kann nun also nur noch Datenroaming ein oder aus geschaltet werden. Ich komme hier nochmals auf das Datennetz von Drei(3) zurück. Schaltet man Datenroaming am Smartphone aus, hat man keine Möglichkeit den Internetzugang am Handy zu nutzen, wenn man ausserhalb des von Drei versorgten UMTS Netzes ist. Warum? Aufgrund des deaktivierten Datenroaming wird überhaupt nicht mehr geroamt, auch nicht mehr über A1.

Schaltet man in so einem Fall (also im Inland = Österreich) das Datenroaming ein, wird über A1 geroamt, was hier korrekt ist und auch keine Probleme verursacht.

Wohnt man nun aber in Grenznähe, in einem Gebiet das nicht so gut vom eigenen Netzanbieter abgedeckt ist und hat Roaming deaktiviert, hat man keine Möglichkeit, den Datenzugang seines Smartphone zu nutzen, solange man nicht roaming aktiviert.

Die Gefahr hierbei (Grenznähe) ist dann, dass das Smartphone sich nicht nur in den Partnernetzbetreiber des eigenen Anbieter einloogen kann, sondern – wenn man Pech hat – auch in ein ausländisches Netz und das kann sehr teuer werden!

Dies stellt vor allem dann ein Problem dar, wenn man in Grenznähe wohnt. Wenn man nicht aufpasst, loggt sich das Smartphone unter Umständen in ein ausländisches Netz ein. Das wird dann teuer!

 

Die Lösung

Die Datei spn-conf.xml, welche im Ordner /system/etc des Smartphone (zumindest des Galaxy S) liegt. In dieser Datei werden u.a. Fakenetze eingetragen. Das ganze erfolgt mit Providerspezifischen „Nummern“ und schaut so aus (dies sind die letzten Zeilen in der Datei spn-conf.xml nach einem Flash auf das Android OS Gingerbread):

<spnOverride numeric=“23211″ fake_home_on=“23201″/> <!– bob @ A1 network –>
<spnOverride numeric=“23212″ fake_home_on=“23205″/> <!– yesss! @ Orange AT –>
<spnOverride numeric=“23207″ fake_home_on=“23203″/> <!– tele.ring @ T-Mobile A –>

 

Beispiel 1. Zeile: Diese Regel besagt, dass  der Provider 23211 (bob) auch ein gefaktes Heimnetz bei A1 (23201) hat (also auch dort zu Hause ist). Das wiederum bedeutet, dass – selbst wenn man als Bob User aufgrund schlechter Netzabdeckung über A1 fährt –  kein Roaming nötig ist, Roaming also am Gerät ausgeschaltet sein kann.

 

Für den Anbieter Drei ist in der spn-conf.xml keine solche Zeile enthalten, weshalb man diese selbst, nach den anderen Zeilen, die oben erwähnt wurden, einfügen muss. Sie lautet:

<spnOverride numeric=“23210″ fake_home_on=“23201″/> <!– 3 AT @ A1 network –>

D.h. Provider 23210 = DREI hat ein Heimnetz auch bei A1 (23201).

Heimnetz = kein Roaming

…und deshalb kann das Roaming dann am Gerät ausgeschaltet bleiben.

Um die Datei bearbeiten zu können, muss das Smartphone allerdings Rootzugriff erlauben (gerootet sein) und das Verzeichnis /system/etc muss mit Schreib- und Leserechten gemountet werden. (Es gibt hierfür im Market ein Programm mit dem Namen mount System, welches diesen Ornder beschreibbar macht.)

Rootrechte auf dem SGS bekommt man -ausgehend von einer Gingerbread 2.3.3 Firmware – zum Beispiel wie hier beschrieben.

Mein Dank geht an dieser Stelle an die User thealien und extralife (www.android-forum.de), die sich mit der ganzen Thematik auseinandergesetzt haben und schließlich auch die Lösung zum Problem gefunden haben!