Frage:
Ist ein Dumbphone-Handy für einfache Telefonanrufe sicherer als ein Smartphone?
infinite-etcetera
2017-02-02 16:09:06 UTC
view on stackexchange narkive permalink

Mit Dumbphone meine ich: keine Internetverbindung, sehr eingeschränkte Funktionen usw.

Mit sicherer meine ich: sicher vor böswilligem und direktem Hacking. Ich meine nicht, dass sie vor staatlichem Abhören / Schnüffeln geschützt sind. Ich meine nicht von Behörden, denen über die Mobilfunkgesellschaft irgendwie Zugang gewährt werden könnte.

Hat sich die Sicherheit des Basisanrufs in den letzten 10 Jahren stark verändert? Offensichtlich haben Smartphones im Laufe der Zeit unendlich viele neue Sicherheitslücken. Ein kurzer Blick in den Verlauf der Sicherheitsupdates von Apple oder die Suche nach Android in den technischen Nachrichten beweisen dies. Ich würde jedoch vermuten, dass die meisten dieser Sicherheitsanfälligkeiten aufgrund der häufigen Verbindungen zum Internet ausgenutzt werden können. Verwenden Smartphones also etwas Neues [nur] für die Initiierung und Verbindung nur des Telefonanrufs selbst?

Ist [dies] (https://en.wikipedia.org/wiki/Nokia_6650) nach Ihren Maßstäben ein Dumbphone?
Funktionieren derzeit verfügbare Dumbphones überhaupt mit nicht internetfähigen Funkstandards?
@DmitryGrigoryev Es hat eine Art Java .... Sache.Das kann ein nicht dummes Telefon sein oder ein sehr dummes Telefon, abhängig von Ihrer Sichtweise.
@gerrit GSM ist normalerweise ** internetfähig **.
@DoritoStyle Wirklich?Ich dachte das wäre GPRS.
Definieren Sie bitte "sicherer".Bedenken Sie, dass Macs aufgrund der einfachen Tatsache, dass nicht so viele Benutzer dieses Betriebssystem verwenden, als "sicherer" eingestuft werden, sodass Hacker weniger Geld verdienen müssen.Dumme / Feature-Telefone * könnten * als sicherer angesehen werden, da die Leute sie möglicherweise nicht mehr anvisieren.
Gibt es einen wirklichen Unterschied zwischen "illegalem Hacken" und "Tippen / Schnüffeln durch die Regierung"?
@Octopus Ja, illegal war das falsche Wort, dachte ich auch
Ich bin mir immer noch nicht sicher, was dein Unterschied ist.Ich denke, vielleicht meinen Sie damit, direkt über das Telefon auf die Daten des Telefons zuzugreifen, anstatt auf Protokolle Ihrer Aktivitäten zuzugreifen, die bei der Telefongesellschaft gespeichert sind?
"Bösartig" scheint nicht besser zu sein als "illegal".Regierung kann auch bösartig sein.Vielleicht möchten Sie sagen, dass Ihr einziges realistisches Ziel darin besteht, sich vor Hackern mit weniger Ressourcen als denen eines Nationalstaates zu schützen.
Beides ist die Idee dessen, was ich meine.Kostenlos kostenlos zur Bearbeitung der Fragenbeschreibung einreichen.
Beachten Sie, dass meine Frage http://security.stackexchange.com/questions/124900/in-mobile-can-early-media-be-sent-from-the-phone sicherlich für dumme Telefone gilt, bei denen das Mikrofon direkt an einem befestigt isteinfacher und undokumentierter Modemchip.
Beziehen Sie sich auf moderne "dumme" Telefone oder die Funktionstelefone der Mitte der 2000er Jahre?
Fünf antworten:
#1
+63
Hacktiker
2017-02-02 16:39:52 UTC
view on stackexchange narkive permalink

Hat sich die Sicherheit des Basisanrufs in den letzten 10 Jahren stark verändert?

Verwenden Smartphones also etwas Neues [nur] für die Initiierung und Verbindung nur des Telefonanrufs selbst?

Ja. Es gibt neue Technologien zum Herstellen von Telefonanrufen in Mobilfunknetzen. Diese neuen Technologien mildern einige Angriffe ab, die aufgrund von Fehlern bei den älteren möglich waren. Wenn Sie also ein "Dumbphone" verwenden, das auf den älteren Technologien ausgeführt wird, sind Sie diesen Angriffen ausgesetzt (dh das Gegenteil ist der Fall, das Smartphone ist in dieser Hinsicht sicherer).

Die im Mobiltelefon verwendeten Technologien Netzwerke haben sich im Laufe der Zeit im Wesentlichen wie folgt entwickelt: 1. Generation (analog), 2. Generation (GSM usw.), 3. Generation (UMTS usw.), 4. Generation (LTE usw.).

Wenn Sie ein Gerät verwenden Wenn beispielsweise die GSM-Technologie ausgeführt wird, kann ein Angreifer Ihre Anrufe mit Hardwarekosten von nur etwa 30 USD abfangen. Das Abfangen von Anrufen mit den neueren Technologien ist bis zu einem Punkt schwieriger, an dem nur Angreifer aus Nationalstaaten sie ausführen können.

Praktisch alle modernen Smartphones unterstützen weiterhin 2G, sodass sie immer noch für die gleichen Angriffe anfällig sind.
Das stimmt, aber der Angreifer müsste dann einen Downgrade-Angriff durchführen, da diese Geräte nur dann die ältere Technologie verwenden würden, wenn die neuere nicht verfügbar ist.
Ein wichtiger Punkt ist, dass sich der Angreifer in Zellenreichweite befinden muss.Wenn ich Ihr Smartphone infiziere, muss ich nicht mit meinem RTLSDR / USRP hinter Ihnen fahren, um Ihre Texte zu lesen
@Hacktiker In den meisten Ländern (außer Österreich AFAIK) ist ein Downgrade-Angriff eine Frage des Stehens in dem Gebiet, das von der alten 2G-Zelle abgedeckt wird.
@DmitryGrigoryev stimmte zu!Deshalb habe ich mein Smartphone so eingestellt, dass es entweder LTE verbindet oder dem Antennenturm meinen besten Finger zeigt (nicht diesen).
Nichts für ungut, dies lässt die Frage meines Erachtens völlig außer Acht, während die nächste Antwort mehr als doppelt so hoch bewertet wird.Das OP fragt nicht nach der Verwendung eines GSM-Telefons, sondern nach einem Telefon, das * nur * aus der Mobilfunknetzfunktion besteht, ohne die "intelligente" Technologie (d. H. Ohne Android, iOS, Blackberry) ...
Mein Verständnis von Mobilfunknetzen ist, wenn auch begrenzt, dass sie alle SS7 verwenden, das ziemlich anfällig für Angriffe ist, und das von Ihnen verwendete Mobilfunknetz (XG) ist irrelevant, sodass ein Basistelefon nicht besser als ein Smartphone ist.
#2
+22
user400344
2017-02-02 17:27:22 UTC
view on stackexchange narkive permalink

Beispiel: Snowden verwendet ein Feature-Telefon (d. h. ein dummes Telefon). Ein paar Leute würden gerne sein Handy angreifen, aber selbst wenn sie Erfolg haben, ist es eine sehr begrenzte Belohnung. OpenMOKO ist ein Beispiel für ein solches Telefon. Ein Angreifer benötigt wahrscheinlich gute Kenntnisse des Systems, in das er eindringen möchte, und Android kann leicht beibehalten werden. Es ist schwieriger, auf einem klassischen Nokia zu bestehen.

Mit einem HackRF One und OpenBTS Es ist weiterhin möglich, IMSI abzufangen (und Krypto herunterzustufen und Protokolldaten + Anrufe abzuhören), und nach meinem Verständnis sind Sie, wenn das Telefonmodem DMA verwendet, in gewisser Weise Ihrem Telefonieanbieter ausgeliefert - wer kann Stummschalten von Konfigurationen, drahtlosen Updates usw.

Stellen Sie nach Möglichkeit sicher, dass das 4 / 3G Ihres Telefons nicht auf defektes GSM heruntergestuft werden kann. Wenn Sie ein Smartphone verwenden, verwenden Sie keine Standardbrowser, verwenden Sie Apps, die End-to-End-Krypto für Sofortnachrichten und Anrufe bereitstellen (WhatsApp, Wire, Signal (der letzte ist der beste), und ggf. VPN über öffentliches WLAN. P. >

"Stellen Sie nach Möglichkeit sicher, dass das 4 / 3G Ihres Telefons nicht auf defektes GSM heruntergestuft werden kann."Ist diese Einstellung auf einem bekannten Telefon verfügbar?Wie würde diese Funktion heißen?
@l0b0 Android hatte ein sehr gut verstecktes Menü, mit dem dies geändert werden konnte, obwohl ich nicht sicher bin, ob dies noch der Fall ist.Ich kann es heute nicht finden.
Das Bedrohungsmodell von Snowden unterscheidet sich möglicherweise ein wenig von dem des OP.
Warum ist das Signal am besten?Das klingt ziemlich eigensinnig und subjektiv - "am besten" in Sachen Sicherheit?Benutzerfreundlichkeit?Preis?
Es ist Open Source.https://github.com/WhisperSystems/Signal-Android + https://github.com/WhisperSystems/Signal-iOS
Und es wird beiden Peers bei jedem Sprachanruf eine zufällige Phrase angezeigt, damit MiTM zumindest auffällt.
@l0b0, soweit ich weiß, ist diese Funktion auf allen ausreichend modernen Android-Handys verfügbar: Bei mir befindet sie sich in * Einstellungen *> * Mobilfunknetze *> * Bevorzugter Netzwerktyp *, mit dem Sie dann zwischen * 2G / 3G * wählen können.* Nur 2G * oder * nur 3G *.Die fragliche Einstellung wäre * nur 3G *.
Vor kurzem wurde darüber gesprochen, dass WhatsApp-Besitzer Facebook alle Daten, die über die App übertragen wurden, stillschweigend entschlüsseln kann.http://boingboing.net/2017/01/13/whatsapp-facebooks-ability.html - aber unabhängig davon ist es besser als rohe SMS / Voicecalls.
Der Grund für die Verwendung eines dummen (Funktions-) Telefons in einem Fall wie dem von Snowden hat nichts mit der Sicherheit von _calls_ zu tun.Wenn dies das einzige wäre, worum es geht (wie diese Frage stellt), wäre dieser Datenpunkt irrelevant.Der Unterschied liegt in der Oberfläche, die für andere Arten von Angriffen vorgesehen ist.Die Firmware von Smartphones (einschließlich Basisband-Radios usw.) kann häufig vom Netzwerkanbieter gehackt werden und wird eher zu unwissenden Abhörgeräten als zu weniger leistungsfähigen Geräten.(Auch das Ein- und Ausschalten usw. ist viel schneller, wenn Sie befürchten, dass die Firmware kompromittiert wird.
@l0b0 Mein Samsung Galaxy S5 hat eine solche Option in den Netzwerkeinstellungen.Ich kann zwischen LTE / 3G / 2G, 3G / 2G, 3G, 2G wählen.Wenn ich 3G einstelle, wird keine Verbindung zu 2G-Netzwerken hergestellt.
@AndrejaKo Hört sich toll an.Aber was wird es tun, wenn keine 4 (LTE) / 3G-Abdeckung verfügbar ist (aus einer Reihe von Gründen)?
@Caleb Signal geht zumindest ethisch mit Sprachanrufen um.
@user400344 Verwenden Sie das Telefon nicht und akzeptieren Sie nicht die Möglichkeit des Abhörens, wie dies bei jeder anderen fehlerhaften Verschlüsselungsmethode der Fall ist.
Können Sie bitte weitere Beispiele für Dump-Telefone und deren Beständigkeit nennen?OpenMOKO ist ziemlich veraltet.
@LéoLéopoldHertz 준영 Nein, ist es nicht.
@LéoLéopoldHertz 준영 http://shr-project.org/trac.weniger ist mehr.
@user400344 Ja, ein Vorschlag für ein Telefon mit weniger Funktionen?Irgendwelche mit nur 4G oder 3G?Kein GSM.
Ein Himbeer-Pi-Zero mit einem Modul, das 4G / LTE unterstützt, einer LTE-Antenne und mehreren USB-Batterien.
#3
+11
Dmitry Grigoryev
2017-02-02 17:04:52 UTC
view on stackexchange narkive permalink

Sicher, Internetverbindung und physische Datenschnittstellen wie USB oder microSD stellen Angriffsmethoden dar.

Wenn Sie Ihr Smartphone jedoch als Dumbphone verwenden (dh niemals Datenverbindungen aktivieren, schließen Sie niemals eine SD-Karte daran an und schließen Sie es niemals an andere Geräte als das offizielle Ladegerät an. Das Risiko ist nahezu gleich .

Es kann argumentiert werden, dass, wenn Ihr Telefon in die falschen Hände gerät, Nichts hindert den Angreifer daran, diese Schnittstellen zu verwenden oder Android-Fehler auszunutzen. Der physische Zugriff ist jedoch auch für die Sicherheit von Dumbphones fatal. Diese Geräte verfügen auch über Debug-Schnittstellen und Schnittstellenfehler, die ausgenutzt werden können.

Es ist fast fair zu sagen, dass der physische Zugriff für die Sicherheitsperiode fatal ist.Wenn dies nicht der Fall ist, ist das Gerät auf keinen Fall so benutzerfreundlich und mobil wie ein Telefon
#4
+5
Blackhawk
2017-02-03 22:32:46 UTC
view on stackexchange narkive permalink

Ich denke, Sie könnten zwei verschiedene Dinge miteinander verbinden, wenn Sie "sicherer" sagen.

Einerseits bin ich mir sicher, dass die alten proprietären Betriebssysteme von "dummen Telefonen" leicht sein könnten gehackt, wenn der Angreifer die Firmware analysieren könnte, im Vergleich zu "Smartphones", bei denen Sicherheit, Berechtigungen und die Sicherheit von verwaltetem Code viel verhindern. Aus dieser Perspektive sind „Smartphones“ weitaus sicherer.

Wenn Sie sich jedoch die beiden Telefontypen im Hinblick auf die Angriffsfläche ansehen, gibt es weitaus mehr Möglichkeiten, ein "Smartphone" anzugreifen als ein "dummes Telefon". Wenn Ihr "dummes Telefon" nur Text / Anrufe ausführen kann, ist der Hacker auf physischen Zugriff oder zellulare MitM-Angriffe beschränkt. Wenn Sie Bluetooth oder Internetverbindung ins Bild bringen, eröffnen Sie ein paar weitere Möglichkeiten. Aber auf "Smartphones" könnte jemand Sie überzeugen, eine bösartige App herunterzuladen, oder er könnte Sie über eine legitime App angreifen, die Schwachstellen aufweist, oder er könnte Sie fischen usw.

Wenn Sie dies jedoch getan hätten Sowohl ein "dummes Telefon" als auch ein "Smartphone", und Ihre Aktivität NUR auf Telefonanrufe beschränkt, würde ich dennoch erwarten, dass das "Smartphone" in Bezug auf gezieltes Hacken sicherer ist.

* "alte proprietäre Betriebssysteme" * Sie meinen, wie Symbian proprietär ist, wie Windows Phone proprietär ist, wie Apple iOS proprietär ist?Die einzige echte nicht proprietäre Wahl wäre Android, aber ich vermute sehr, dass eine reale Android-Installation * viele * proprietäre Teile enthält, noch bevor Sie selbst Apps hinzufügen.
@MichaelKjörling ein fairer Punkt - ich nehme an, ich beziehe mich eher auf Hardwarehersteller, die ihr eigenes Betriebssystem rollen, um Kosten zu senken - wirklich nur ein in die Firmware eingebranntes Menüsystem.
Ich denke, Sie unterschätzen die Softwarekomplexität von Mobiltelefonen ohne Smartphone.
+1 für die Angriffsfläche.Sie benötigen einige dedizierte, böswillige Nachbarn, wenn sie einen IMSI-Catcher einrichten.Wenn es sich bei dem Telefon jedoch um einen mit dem Internet verbundenen Computer handelt, ist jedes Skriptkind im Internet ein potenzieller Angreifer.Und es ist nicht nur die Anzahl potenzieller Angreifer, die die Angriffsfläche erweitert, sondern auch der Benutzer.Mit meinem alten dummen Telefon habe ich telefoniert und Texte gesendet.Mit meinem Smartphone besuche ich Websites und installiere Apps.
#5
+3
André Borie
2017-02-03 04:24:49 UTC
view on stackexchange narkive permalink

Es kann einige Risiken mindern, Sie aber anderen aussetzen.

Sie sehen, dass bei den meisten Smartphones (aber nicht bei allen ) die Mobilfunknetzschnittstelle von der getrennt ist Haupt-CPU und kommuniziert nur über einen bestimmten Bus mit ihr - wenn die mobile Schnittstelle kompromittiert ist, ist das Spiel noch nicht vorbei, da der Angreifer immer noch die Haupt-CPU kompromittieren muss (obwohl Schwachstellen im Code, der die mobile Schnittstelle steuert, wie das Parsen von Textnachrichten aussehen Stagefright usw.).

Funktionstelefone verwenden dagegen einen All-in-One-Chipsatz, auf dem sowohl das Betriebssystem als auch die Mobilfunkkommunikation ausgeführt werden. Wenn dieser kompromittiert wird, erhält der Angreifer sofort die volle Kontrolle über das Telefon. Es ist auch viel einfacher, Malware in einem Feature-Telefon zu verbergen als auf einem Smartphone, da Sie sich keine Gedanken über zukünftige Betriebssystem-Updates oder einige erweiterte Funktionen wie ein Terminal (unter Android und iOS mit Jailbreak) machen müssen, die es jemandem ermöglichen könnten, sich damit auskennen Erkennen Sie Ihre Malware.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...