Sicheres Smartphone – 100 % Abhörsicher Telefonieren [Anfänger]

Sicher Handy nutzen - Hacking Series Steffen Lippke
Sicher Handy nutzen – Hacking Series Steffen Lippke

Wie sieht ein sicheres Smartphone aus?

Was kannst Du ändern, damit Unternehmen, Hacker und die Regierungen Dich nicht ausspionieren können?

Beginnen wir!

Sicheres Betriebssystem für das Smartphone

Ist Apples iOS sicherer?

Apple wirbt bei fast allen ihren Produkten, dass diese besonders sicher und unknackbar sind.

Sie halten Ihr System für IT-Sicherheitsforscher verschlossen. Die Vergangenheit zeigte, dass angeblich sicheren Apple Chips und Software nicht sicher sind. Forscher konnten mit Black-Box Hacking zeigen, wie unfähig Apple Mitarbeiter sind.

01 Apple nicht sicher - Sicheres Smartphone Steffen Lippke Hacking Series
01 Apple nicht sicher – Sicheres Smartphone Steffen Lippke Hacking Series

Wie sicher ist Googles Android?

Google wirbt mit hoher Sicherheit.

Das Betriebssystem Android ist frei verfügbar und der Quellcode ist öffentlich. Weil der Quellcode offen ist und viele tausende (fremde) Entwickler den Quellcode überprüft haben, gilt Android als eine sichere Alternative.

Achtung: Wer sein Android-Smartphone out-of-the-Box mit Google nutzt, läuft in die falsche Richtung. Der Datenkrake Google lebt von der Analyse von Kundendaten, den Verkauf von Werbeanzeigen. Google kennt Privatsphäre nicht.

Wie gesagt ist Android freie Software. Jeder kann das System nach seinen Vorstellungen um modellieren. Android-Derivate wie Lineage OS kommen ohne Google aus.

03 Linage Alternative - Sicheres Smartphone Steffen Lippke Hacking Series
03 Linage Alternative – Sicheres Smartphone Steffen Lippke Hacking Series

Andere unabhängige Systeme PureOS und Ubuntu Touch bietet der Markt an  – diese bieten ein nicht so große Auswahl an Apps.

Mein Tipp zum Smartphone Betriebssystem

Verwende Googles Android ohne Google Dienste und iOS ohne Apple Cloud-Dienste, wenn Du nicht technisch affin bist.

Ich habe bereits eine Schritt-für-Schritt-Anleitung zu diesem Thema erstellt. Wenn Du gerne mit Computern arbeitest, installiere Dir ein Google-bereinigtes Android (Custom Rom) auf Deinem Smartphone.

Tägliche Nutzung am Handy

Sichere Kamera und Mikrofon nutzen

Die NSA / USA überwachen (wenn sie möchten) mit einer eingebauten Spionagefunktion weltweit jedes Handy.

Die NSA kann Dein Mikrofon und Kamera verwenden, selbst wenn Du Dein Handy „aus“ bzw. „heruntergefahren“ hast (Zu dieser Überwachungsfunktion habe ich bereits einen ganzen Beitrag geschrieben, der Dich im Detail über den Missstand aufklärt).

00 Jede App kann das Mirofon ansteuern - Steffen Lippke Hacking Series
00 Jede App kann das Mikrofon ansteuern – Sicheres Smartphone Steffen Lippke Hacking Series

Mein Tipp: Weil in fast jedem Smartphone ein Mikrofon und Kamera ohne einen physikalischen Schalter (Kill-Switch) eingebaut ist, …

  1. … bedecke das Smartphone mit dicken Stoff, um die Kamera zu verhüllen.
  2. … lege das Smartphone in einen schalldichten Raum oder Gefäß, damit (NSA) Hacker nicht alles von Dir mitbekommen.

Sichere Navigieren und Sichere Ortung

Kann mich mein Smartphone ungewollt orten?

Ja. Du stimmst Google und Apple mit den Standardeinstellungen zu, dass diese Dich orten dürfen.

Als Grund führen die Unternehmen an, dass sie Dein Gerät bei Diebstahl schützen wollen. Du wirst aber kaum ein gestohlenes Handy finden, weil die Diebe wissen, wie man die Ortung unterdrückt:

04 Osamnd - Steffen Lippke Hacking Series
04 OsmAnd – Sicheres Smartphone Steffen Lippke Hacking Series

Mein Tipp: Deaktiviere alle Tracking-Features in Google und iOS. Wenn Du sichergehen willst, dass Du nicht geortet werden willst, packe das Smartphone in eine faradaysche Hülle (z. B. Alu-Folie).

Nutze für die Navigation Open Source Map wie Maps.me oder OsmAnd, damit Du nicht die ganze Zeit Deinen Standort mit Google oder Apple teilen musst.

Abhörsicher Telefonieren

Ja, das normale Telefonieren und SMS ist abhörbar.

Das ist kein Mythos, sondern Realität. Die Deutsche Telekom muss die Anrufe und Verbindungen speichern.

Nur eine sichere Ende-zu-Ende-Verschlüsselung, macht die Übertragung sicher, wenn der Verbindungsweg als unsicher gilt.

Bei einer Ende-zu-Ende-Verschlüsselung verschlüsselt der Sender die Nachricht mit einer asynchronen Verschlüsselung und sendet die Nachricht an dem Empfänger. Der Empfänger kann mit seinem privaten Schlüssel die Nachricht entschlüsseln.

Mein Tipp: Anfänger sollten die kostenlose Signal-App nutzen, weil diese App eine Chat- und Video-Funktion mit einer Ende-zu-Ende-Verschlüsselung umsetzt.

05 Signal App - Sicheres Smartphone Steffen Lippke Hacking Series
05 Signal App – Sicheres Smartphone Steffen Lippke Hacking Series

Die App nutzt das gleichnamige Signal-Protokoll, um über eine Ende-zu-Ende Verschlüsselung Nachrichten und Video/Sprach-Datenpakete austauschen zu können. Führend Kryptologen und IT-Sicherheitsexperten stufen dieses Protokoll als eines der Sicherersten ein.

Sichere Apps downloaden und nutzen

Viele kommerzielle Apps nutzen geschlossen Code.

Keiner außerhalb des Unternehmens kann sich den Quellcode einsehen. Externe Sicherheitsprüfer (Ethical Hacker) können das Unternehmen nicht auf Sicherheitsprobleme aufmerksam machen (oder nur erschwert).

06 F-Droid - Sicheres Smartphone Steffen Lippke Hacking Series
06 F-Droid – Sicheres Smartphone Steffen Lippke Hacking Series

Eine sichere App ist nur eine sichere App, wenn jeder die Möglichkeit hat, sich den Code zum mindestens theoretisch anzuschauen. Ethical Hacker und andere fähige Programmierer können sich bezüglich der Sicherheit versichern. Das Kerckhoff-sches Prinzip besagt, dass ein Verschlüsselungs-Algorithmus (RSA, Caesar) und die Implementierung nur sicher sind, wenn Experten weltweit diese überprüfen, diskutieren und auswählen können.

Mein Tipp: Nutze, wann immer es geht einen Open-Source Alternative. Du kannst kostenlos über den F-Droid Store neue Anwendungen downloaden.

Vermeide einen Vendor-Lock-In, wie es bei Apple und manchen Google Anwendungen der Fall ist. Du bist in einem Vendor-Lock-In gefangen, wenn Du eine Software nutzt, aus der Du nur mit sehr viel Aufwand Deine Nutzungsdaten in eine andere Softwarelösung transferieren kannst. Die Anbieter könnten einen Export anbieten, aber das Unternehmen versucht zwanghaft die zahlenden Kunden an sich dauerhaft binden.

Überwacht oder nicht überwacht

SIM als Gefahr für die Sicherheit?

Wie wäre es, wenn jeder Zugriff auf eine Milliarde Smartphones hat?

Egal ob Apple, Samsung, Sony … jedes Handy mit einer SIM-Karte. In 2019 fand das Unternehmen ApativeMobileSecurity genau dies heraus: Simjacker. Einige kriminelle Hacker haben diese Lücke ausgenutzt, um einen Zugang zu den angeblich sicheren Smartphones zu erhalten. Ganz ohne NSA.

07 Simjacker - Sicheres Smartphone Steffen Lippke Hacking Series
07 Simjacker – Sicheres Smartphone Steffen Lippke Hacking Series

Mein Tipp: Spiele immer die aktuellsten Sicherheit-Betriebssystems- und Software-Updates so früh wie möglich ein. Für (sensitive) Gespräche nutze die Signal-App oder andere Open Source Alternativen. Gehe sehr restriktiv mit den Berechtigungen in Googles Android um (z. B. Braucht eine Galerie-App Zugriff auf die Kontakte?).

Ergebnisse der Snowden Enthüllungen?

Snowden hat mit der globalen Überwachungs- und Spionage-Affäre der USA viele Einsichten der Welt gegeben.

Das Unternehmen Gamalto hat  die meisten SIM-Karten für Deutschland hergestellt. Die NSA konnten sich in die Datenbank des Unternehmens hacken. Alle Handys, die diese SIM-Karten nutzen, sind unsicher, weil die mobile Verschlüsselung der NSA offenstand.

Das NSA Projekt PRISM war dafür angelegt die ganze Welt zu überwachen. Im Fokus standen nicht nur Terroristen (wie es ursprünglich geplant war), sondern auch Politiker aus Deutschland und der Welt. Normale Bürgen wie Du und ich wurden auch überwacht, weil jeder von der Theorie her zum Terroristen werden kann.

Mein Tipp: Zum Senden von geheimen Nachrichten nutze die E-Mail Verschlüsselung Pretty Good Privacy (PGP). Weil PGP für Anfänger zu kompliziert ist, solltest Du und der Empfänger eine Proton-E-Mail einrichten. Der Mail Provider ermöglicht eine voll-automatische PGP-Kommunikation zwischen den Nutzer des Services.

Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.