Bitcoin Forum

NSA wollte Android-App-Stores für Ausspähungen nutzen

Neue Dokumente zeigen, dass die NSA und verbündete Nachrichtendienste planten, Smartphone-Nutzer in zahlreichen Ländern mit Hilfe von Googles und Samsungs Android-App-Stores auszuspionieren. Dafür sollte gezielt der Datentransfer zwischen den Mobilgeräten und dem App-Marktplatz manipuliert werden.

http://www.golem.de/news/spionage-nsa-wollte-android-app-stores-fuer-ausspaehungen-nutzen-1505-114199.html

Ha! Hat sich meine App-Store Weigerung mal wieder als richtige Wahl erwiesen. Mal sehen ob Moxie (für Aussenstehende: Open Whisper Systems TextSecure) nun seine Meinung bezüglich GCM/APN und Software Distribution ändert. Ich bin mit seiner Argumentation noch nie Einverstanden gewesen, aber es ist natürlich schwer ohne solche Presseberichte dagegen zu argumentieren.

Wenn du ein Schlaufon nutzt, bringt dir die Appstore Verweigerung nichts.
Selbst wenn du auf deiner Kiste ein komplett selbstgebautes und per Quelltext nachgelesenes OS laufen hast, ist das Baseband Closed Source, und was da alles drin ist....
Und dann frag ich mich: Warum sich den Ärger antun? Ein altes 3310 tuts auch und ist weit weniger Spionfreundlich. Viel weniger kann man damit auch nicht machen als mit einem Schlaufon ohne übliche Software.
Oder installierst du aus inoffiziellen Quellen?

Allerdings ist ein Angriff auf eine Software, die sich ständig ändert und beim Design des Baseband noch unbekannt war, nicht ganz so einfach. Da das Baseband einen Busmaster-Zugriff auf den gesammten Speicher hat, allerdings auch nicht undenkbar.

Durch ROM (eigentlich Flash) Code im Secure-Mode (ARM) oder im SMM (Intel) hat man heute gegen einen technisch nahezu perfekten Angreifer denkbar schlechte Karten: Man kann einen Angriff ohne eine Überwachung der angegriffenen Komponenten mit externer Zeitbasis (Messgerät) leider nicht mal mehr erkennen. Selbst wenn man es erkennt, kann man das Gerät nur noch vernichten, da ein Zugriff auf die Secure-World / den SMM in vielen Hardware-Designs selbst als Systementwickler unmöglich ist!

Die gute Nachricht ist, so ein richtig universeller Secure World / SMM Handler ist unheimlich schwer zu schreiben. Die genutzten Systeme und zukunftigen Entwicklungen sind so vielfältig, dass man ein erhebliches Risiko hat, das Gerät damit nach einem Update total lahmzulegen. Ich hatte vor ein paar Jahren einen Fall, da durfte der Hersteller durch einen Fehler in der Secure World eine ganze Ladung Cortex einstampfen. Das Flash war nämlich OTP (One Time Programmable).

Zusammenfassend kann man sagen, man nutzt die existierenden Möglichkeiten. Selbstbeschränkung auf Uralt-Technik funktioniert nur begrenzte Zeit und lässt den Angreifer nebenbei auch noch das Spiel gewinnen, da er Deine Kommunikationsmöglichkeiten erfolgreich beschränkt hat. Oder anders ausgedrückt: Aufgeben ist keine Option!  ;D

Und genau das ist der Grund warum ich die nutzung von mobiltelefonen möglichst verweigere. Selten ahe ich noch ein Uralten telefon dabei. Meine Freundin meint dann immer sie schämt sich deswegen wenn ich es raushole xD

nicht von der hand zu weisen, da gebe ich dir recht. was nützt die beste absicherung/vorsicht wenn das OS (windows und co) bereits hintertüren eingebaut haben ? Teilweise in der hardware selbst...  ::)

Bezüglich Security zurecht. Das alte Gerät ist komplett geschlossen, nutzt aber systembedingt ebenfalls eine recht universelle Datenverbindung. Damit lässt es sich genausogut als Wanze, zum Tracking etc. einsetzen.