PULVERDAMPF

BigBen hat geschrieben:Kann mir mal jemand plausibel erklären wie man über ein kostenloses WLAN ein iphone hackt bzw. übernimmt? Ich will keine genaue Anleitung sondern nur wie ihr glaubt dass das in groben Zügen von statten geht.

Das wird dir keiner erklären können weils nicht einfach so geht. (Vorausgesetzt das iOS ist aktuell und hat keine remote ausnutzbaren Sicherheitslücken)

Das Problem mit öffentlichen Wlans ist ein anderes. In einem Wlan sind alle Daten grundsätzlich für alle Teilnehmer sichtbar. Es ist ein Kinderspiel als Teilnehmer die Daten eines anderen Teilnehmers mitzulesen und z.B. Passwörter die unverschlüsselt übertragen werden abzufangen. Daher immer verschlüsselte Dienste verwenden sofern Passwörter übertragen werden. (Das ist leider bei Email noch immer nicht überall Standard) Die Wlan Verschlüsselung hilft dir da nichts weil als Teilnehmer hast du ja den Schlüssel...

Edit: BigBen hats inzwischen eh schon erklärt...

Um die Frage des Threadstarters zu beantworten:

1) Vor wem möchte ich mein Smartphone schützen

Erst mal muss ich mit der Illusion aufräumen, man könnte sich gegen diverse US-Behörden schützen. Nein. Um eine lange lange lange Story kurz zu machen: Die haben mehr Kapital & mehr Einfluss. Da hilft nur noch sich persönlich am Gipfel treffen, ohne Handy natürlich. Wer kommerzielle Geräte von US-Herstellern verwendet, muss damit rechnen, dass US-Behörden alles bekommen können.

Die größte Gefahr bei mobilen Geräten ist, dass sie weg kommen - meine größte Sorge ist immer, dass mir meine Gerätschaft gestohlen wird und die Daten darauf missbraucht (wobei je nach Dieb eher davon auszugehen ist, dass das Gerät schnell verschachert wird...). Deswegen sind alle meine mobilen Geräte vollverschlüsselt. Für Samrtphones gibt es auch hier Lösungen, in die man sich aber ein bisschen einarbeiten muss. Wer zb. glaubt ein Windows-Passwört hält davon ab, Daten einer Laptopfestplatte abzugreifen, der irrt. Nur Vollverschlüsselung hält den durchnittlichen Dieb, aber auch fähigere Angreifer ab. Wie viel Macht Behörden da haben (was sie knacken können und was nicht) ist immer wieder Diskussion. Doch diese Variante hilft nur dagegen, "ruhende" Daten bei Verlust abzugreifen. Wenn das Gerät eingeschaltet und im Betrieb ist, gibt es unzählige andere Angriffsmöglichkeiten.

2) Schutz im Alltag

Das größte Problem ist derzeit Identitätsdiebstahl, Phishing usw. also das übliche wie Kreditkartennummern, Mehrwertnummern, plötzlich abgeschlossene Verträge etc. Hier gibt es nur einen einzigen Schutz, dass ist das selbe wie die beste Sicherung beim Schießen: Das Gehirn. Man muss hier immer vorischtig sein, nicht einfach auf "Ja" klciken, nciht jedes Taschenlampen-App installieren. Es gibt einen Grund, warum viele tolle Apps gartis sind. ("Wenn etwas nichts kostet und dennoch komerziell wirkt, bist du das Produkt")

Die Berechtigungsverwaltung von Android ist eigentlich sehr gut, wer natürlich den Zugriff einer App auf Telefonnummern, Anruffunktion etc erlaubt ist selbst schuld. Mit Appleprodukten habe ich zu wenig Erfahrung, ich rate aber generell davon ab.

Öffentliche WLANs vermeiden, wie oben beschrieben. Wenn, dann keine wichtigen Passwörter oder Daten übertragen, sprich keine Bankgeschäfte, Einkäufe etc. Firewalls oder Antiviren-Apps sind zu 99% nur Marketing-Gags.

So, ich könnte jetzt noch ewig weiter schreiben, aber wie ihr vielleicht merkt ist diese Thematik studiumfüllend.

Weissi hat geschrieben:

BigBen hat geschrieben:...
Der komplette Takeover eines Smartphones alleine durch die Verbindung zu einem offenen WLAN wäre hardcore.

Hardcore, aber nicht unmöglich.

Grüße,

Weissi

Hat schon Fehler in Wlan Treibern gegeben die das Einschleusen von Code ermöglicht haben. (Der dann alle Rechte hatte) Zwar nicht unter iOS aber bei Windows Broadcom Treiber hats sowas schon mal gegeben. (Lange her) Also grundsätzlich möglich und gar nicht soo hardcore. (Sofern das System verwundbar ist) Auch da hilft wieder mal System immer aktuell halten! (Fast wichtiger als ein Virenscanner)

Vor allem sind ja normalerweise die Daten von Normalbürgern für Hacker uninteressant da es die ja nit unbedingt interessiert auf welchen Seiten du da herumsurfst oder wer wieder mit wem was hat oder nicht wenn du auf deinen Flieger wartest. Direkte Hacker angriffe sind ja eher gezielt und wenn dann glaub ich eher in einer VIP Lounge zu finden. Wie ich schon geschrieben hab werden die Pishingmails an x Empfänger gesendet.
Ne gute Seite wo vor solchen Mails gewarnt wird:
http://www.mimikama.at/allgemein/trojan ... 25641-sic/

@dpool: In Bezug auf gezielte Hackerattacken gebe ich dir recht, aber man muss sich auch bewusst sein, dass Daten einfach gesammelt und ausgewertet werden. Allgemein. Einfach so. Grundlos. Weil es geht, funktioniert und sich niemand aufregt. Und Logindaten oder Authentifizierungsdaten für Bankkonten sind dann gar nicht mehr so uninteressant, egal ob für Hacker oder sonstjemanden.

@Floody: Vollinhaltliche Zustimmung.

Floody hat geschrieben:

the_law hat geschrieben:meinem bruder habens am flughafen scheinbar das handy geknackt (iphone) als er sich in einem der dort vorzufindenten hotspots via wlan einklinkte..., da kommen plötzlich fingierte telekomrechnungen, anrufe unbekannter herkunft und spammails...

"Geknackt" ist hier offensichtlich das falsche Wort, zum Versand vom Spam und Phishingzeug brauch ich nicht viel knacken.

keine ahnung wie man da sonst so dazu sagt , laut seiner aussage war bis letzter woche gar nix, erst seit er am flughafen besagtes gratis wlan nutze kommen solch mails und anrufe, wegen der telekomrechnung hat es bei telekom angerufen-von denen ist die mail auf jedenfall nicht- da steht aber genau drin wo, wann und wielange...

the_law hat geschrieben:ich persönlich nutze solche dienste nicht, wlan gibts nur zuhaus, verschlüsselt mit einem 12 stelligen code

Gut, hoffentlich per WPA2-PSK und ausgeschaltetem WPS (is so ein Knopferl zum Superschnell-Sachen-Kabellos-Anschließen, wenn das aktiviert ist bin ich kürzester Zeit drin.)

jup, wpa2 dingsbums... , so´n besagten knopf hab ich gar nit..

the_law hat geschrieben:kenne mich jetzt aber auch zu wenig in der materie aus um zu wissen was man alles auf seinem handy machen sollte so das es schwer wird das man im öffendlichen(gratis) wlan gehackt wird und sicher surfen kann.

Öffentliches WLAN ist wie mit offenen Wunden im Ganges schwimmen. Am besten gar nicht erst rein, ansonsten keinesfalls wichtige Sachen tun wie ins e-banking einloggen etc.

schön umschrieben , e-banking am smartphone , ist für mich persönlich eh tabu

the_law hat geschrieben:kann mir da wer tips geben (für laien vertändlich )

Jah, für sowas gibts so Leute wie mich. Es fällt mir natürlich leichter wenn konkret gefragt wird.

okay, also dann am besten erst gar nicht solche gratis spots nutzen und höfflich fragen ob die bekanntschaft-verwandschaft einen das gesicherte netz nutzen läßt...so in etwa?

the_law hat geschrieben:auf meinem telefondings (galaxy s3) ist avast instaliert-kenn ich schon vom rechner her-war die erste app was drauf kam und irgend so ne app die ip adressen verschlüsselt-verdreht-anderst zuordent..., mehrwertnummern vom oder ins ausland, ebenso inland, sind beim telefonanbieter schon deaktiviert.

Avast am Samartphone kannst du vergessen, bringt absolut gar nichts (außer vielleicht für den Diebstahlschutz). Warum: Apps laufen im Sandboxmodus, das heisst Avast sieht gar nicht was die anderen Apps alle tun, die Signaturerkennung besteht meist allein darin abzugleichen ob ein installiertes App "böse heisst".

IT-Sec am Smartphone ist leider eine unglaublich mühsame Sache. Ich geh mal von Android aus, da ist es noch irgendwie einfacher was zu machen, Apps die Sicherheit versprechen können in den meisten Fällen hald gar nichts, wie bereits erwähnt wäre einge Möglichekit den zugriff auf das Netz zu tunneln, trotzdem sit das Geräte selbst im öffentlichen WLAN sichtbar und damit angreifbar.

bringen viren oder malewarecaner generell nix am smartphone oder sollte man sich da schon drum kümmern? gibts apps die was bringen? auf meiner telefongurke befinden sich keine heruntergeladenen social net apps wie facebook, watsapp oder sostiger schmarrn, trotzdem kam es in der vergangenheit immer wieder zu anrufen diverser firmen die was verkaufen wollten, aktuelle telefonnummer steht nicht im öffendlichen telefonbuch und wird auch nicht im internet angegeben. erst seit beim telefonbetreiber die mehrwertnummern gesperrt wurden war ruhe...woher zum teufel haben die meine nummer

wieso ist eigendlich das pulverdampfforum nicht https//

@Weissi: Da geb ich dir recht aber eigentlich gings mir um das Thread Tema. Weil er jetzt die Pishingmails und Co bekommt und ich eigentlich damit sagen wollte dass es höchstwarscheinlich nicht von einem Hackerangriff auf sein Handy kommt aber eher von einer gehackten Datenbank. Was nützt da ein superverschlüsseltes mit Hulksicheren Sperren versehenes Handy wenn man seine Daten vertrauensvoll bei irgendwelchen Onlineshops und Co angibt und denen dann die Daten geklaut wurden oder sie deine Daten einfach weiterverkauft haben.
Aufregen tu ich mich trotzdem aber bewirken werd ich damit eher nix darum vertraue ich dass meine Daten für andere zu uninteressant sind. Die interessanten werden getrennt auf externen Festplatten gelagert

@the_law: Weil kein SSL-Zertifikat dafür beantragt wurde Kann man zwar schon machen, kostet aber im Normalfall ein bisschen was.

bzgl. unterwünschte Anrufe kann ich euch "Mr. Number" empfehlen. Habe alle unterdrückten Nummern geblockt.

Ich versteh dich schon dpool, mir gings nur darum festzuhalten, dass es keine "uninteressanten" Daten gibt und alles verkauft/gesammelt/gespeichert/verwertet werden kann und eben in einer Art und Weise auf die man keinen Einfluß geschweige denn Informationen hat.

Paranoide Grüße,

Weissi

Stickhead hat geschrieben:@the_law: Weil kein SSL-Zertifikat dafür beantragt wurde Kann man zwar schon machen, kostet aber im Normalfall ein bisschen was.

Einfache SSL Certs kosten nicht unbedingt viel. Die Frage ist aber ob euer Hosting überhaupt SSL Certs zulässt, idR. braucht man dazu eine dedizierte IP. (Technisch gehts zwar auch mit shared IP aber SNI hat sich noch nicht bei allen Providern herumgesprochen)

Ich mach euch ein Angebot, falls euer Hosting ein SSL Cert installieren lässt schickts mir ein Signing Request (CSR) und ihr bekommts ein Cert von mir gesponsert. (Aber vorher abklären ob ihr Certs die nicht bei eurem Provider gekauft wurden auch wirklich installieren könnt)

Das Problem mit der "Datensicherheit" ist halt auch, dass ich zwar Kontrolle über die Daten auf MEINEM Smartphone habe. Sei es durch Verschlüsselung und/oder "Vorsichtig sein" oder andere Methoden. Ich hab aber keine Kontrolle über MEINE Daten auf ANDEREN Smartphones. Und irgendjemand hat immer meinen Namen, Telenummer, Geburtstag wasauchimmer in seinem Handy gespeichert. Und wenn derjenige nicht genauso aufpasst wie ich, sind MEINE Daten gleich im Umlauf ...

Ich bekomme in letzter zeit immer wieder anrufe, von einer ewigen langen nummer. Rangegangen bin ich noch nie, wenn ich zurückrufe heißt es nur, diesen anschluss gibt es nicht.

Und ich hatte auch vor kurzem eine SMS bekommen, das ich angeblich ein virenschutzprogramm von meinem Anbieter habe, und mich dieses ab sofort 10€ monatlich kostet, wenn ich nicht "stop" zurücksende. Was ich natürlich nicht gemacht habe.

Ich gebe IT Guy recht - es nützt rein garnix sich und sein Smartphone vor irgendwas zu schützen. Wie schon gesagt wurde, ebay wurde erst vor kurzem geknackt, und auch wenn kreditkartennr nicht betroffen waren, waren es Namen, adressen und auch passwörter sehr wohl.

Diejenigen, die an euren Daten interesse haben, haben sie schon lange

Ich zum beispiel habe vor einiger zeit mal jemanden vom schützenbund ne Email geschrieben weil ich eine Ergebnisliste gebraucht habe, die nirgends im web aufzufinden war. Praktisch zeitgleich mit seiner Antwort kam plötzlich werbung einer deutschen Firma die mir luftgewehrkugeln und Scheiben verkaufen will.

Datenschutz ist heutzutage unmöglich.

Ihr wollt die Rechte von (Gratis)Apps einschränken: srt AppGuard. (zB auf Chip.de) // Android System. Im Play Store nicht mehr verfügbar.
Damit fühlt man sich wohler.

Alles laut einem Forumsmitglied, das IT- Security bald im Masterstudium abschließt reiner Hokus Pokus und uneffizient.

Lieber sensible Daten vom Handy fernhalten.

Gesendet von meinem D5503 mit Tapatalk

zu tode gefürchtet ist auch gestorben!