Wie anfällig ist ein Smartphone (iPhone im speziellen) für Trojaner ?

[froZn1991]

Ist es wirklich gefährlich auf infizierte Links zu klicken mit einem Smartphone ? Wenn ich überlege wie limitiert schon mein eigener Einfluss auf iOS ist dann muss ich die anfälligkeit für Viren doch schon start anzweifeln, oder liege ich da falsch ?

 

[TheGhost31.08]

Ja,

deswegen nennt man es ja Sicherheitslücke, weil man eben eben dachte es ist dicht. Nur weil man selbst etwas nicht ändern kann darauf zu schließen dass jemand anderes auch nicht ändern kann wäre doch schon sehr naiv oder etwa nicht ?

 

[PC295]

In den allermeisten Fällen werden keine infizierten Links ansich verschickt, sondern Phishing-Links. Sie zielen darauf ab, dass du persönlich Daten oder Zahlungsinformationen preisgibst.
Phishing hat den Vorteil, dass es auf jedem System funktioniert und das System nicht mit Malware infiziert werden muss.

Andernfalls kann es auch Links geben, die einen App-Download starten, welche nach der Installation sensible Daten stiehlt.
Unter z.B. Android ist die Installation von Apps, die nicht aus dem Store kommen, jedoch nicht ohne weiteres möglich.

 

[froZn1991]

Ja das ist natürlich klar also wenn man seine Daten eintippt dann ist das was anderes

 

[kachiri]

Wie kommst du von Links anklicken auf Trojaner? Die Geschichte hinter dem trojanischen Pferd ist dir bekannt? Trojaner kommen meist "getarnt" daher. Ein Link in einer fragwürdigen E-Mail könnte man als getarnt bezeichnen, aber eigentlich schon wieder viel zu auffällig.
Da ist der Weg über eine App dann doch reizvoller. Die Frage ist auch, was möchte der Angreifer mit dem Trojaner erreichen.

Viel häufiger kommt es eher zu einfachen Phishing. Das ist effektiver und weniger schwierig. Einfach eine Webseite gut nachbauen, eine vertrauensweckende E-Mail mit guten Fake-Header und gut getarnter Fake-Domain mit einem Formular - und schon hast du garantiert ein paar Opfer, die ihre Daten eingeben, die dann direkt beim "Hacker" landen.

Man muss sich halt immer die Frage stellen, was möchte ein Täter erreichen. Schädling aufs System bringen ist heutzutage ungleich schwieriger als früher. Egal ob Windows, Linux oder Mac. Egal ob Android oder iOS. Und wenn dürfte in diesen Fällen der 08/15-User gar kein so attraktives Ziel sein.

Oder anders: Die allermeisten Hacks haben heute ihren Ursprung im Phishing. Selbst die Ransomware-Angriffe, wo ganze Systeme mit einer Software lahmgelegt werden.

 

[wahli]

Ich kaufe mir jede Woche ein neues Apple iPhone 15 Pro Max 1TB und schon bin ich alle Trojaner / Malware los

Am meisten hilft der gesunde Menschenverstand und man klickt nichts Verdächtiges an.
Aber ich kenne einige, da hilft alles nichts. Die leugnen es sogar, obwohl man es im Verlauf sieht, dass sehr seltsame Links aufgerufen wurden.

 

[Tzk]

Ist es wirklich gefährlich auf infizierte Links zu klicken mit einem Smartphone ?

Ja, klar. Das trifft auf jedes Gerät zu (Smartphone, Tablet, Computer aller Art).

Wenn ich überlege wie limitiert schon mein eigener Einfluss auf iOS ist dann muss ich die anfälligkeit für Viren doch schon start anzweifeln, oder liege ich da falsch ?

Lücke ist Lücke. Apple hatte schon Lücken in iMessage, bei denen du nichts klicken musstest, sondern es wurde eine spezielle Nachricht an ein Gerät verschickt, welches diese empfangen hat und damit gehackt wurde. Gleiches gilt für MacOS, Windows oder Android.

JEDE Software hat Lücken, weil sie mittlerweile so dermaßen komplex ist. Man muss sie nur finden und ausnutzen.

 

[Stellarix]

Der Faktor Mensch ist und bleibt unberechenbar. Wenn ich hin und wieder bei uns in die ESET Quarantäne schaue, dann kann ich einfach nur den Kopf schütteln.

 

[Drewkev]

Am liebsten hab ich's, wenn User auf Pishing hereinfallen, womit sie gar nichts zu tun haben, also bspw. auf die nachgebaute Seite einer Bank, wo sie nichtmal ein Konto haben.

Da bringen dann auch sämtlichen Sicherheitsvorkehrungen & -mechanismen nichts, wenn es schon am "gesunden Menschenverstand" scheitert, ohne böse oder abwertend klingen zu wollen.

 

[Joshinator]

Apple hatte schon Lücken in iMessage, bei denen du nichts klicken musstest, sondern es wurde eine spezielle Nachricht an ein Gerät verschickt, welches diese empfangen hat und damit gehackt wurde.

Natürlich gibt es die, aber es sollte jedem klar sein das solche Zero-Click Exploits die absolute Ausnahme sind.

Solche Schwachstellen kaufen sich die 3-Buchstaben-Agenturen & Co der Welt teuer ein*. Entsprechend werden die auch geheim gehalten und gebunkert, bis andere 0 Days gefixt wurden.

Will damit sagen, wenn man nicht sowieso ein Ziel von Pegasus & Co ist, dann wird das öffnen von Links kein Handy hacken.
In den meisten Fällen wird das stumpfes Phishing sein (auch um nur zu bestätigen das die SMS bei nem Menschen ankam), oder versucht den User zu überreden eine App zu installieren.
Trotzdem sollte man nicht einfach auf jeden Link klicken und munter Daten eingeben.

*: https://de.wikipedia.org/wiki/Pegasus_(Spyware)#Analyse
Der Wiki Beitrag erklärt das recht gut, in den wenigsten Fällen reicht ein 0 Day aus um mit dem öffnen von Links das Handy zu hacken.
Bei der Endeckung von Pegasus waren das 3, und keiner von denen wird billig gewesen sein.

 

[Incanus]

Da bringen dann auch sämtlichen Sicherheitsvorkehrungen & -mechanismen nichts, wenn es schon am "gesunden Menschenverstand" scheitert, ohne böse oder abwertend klingen zu wollen.

Manche Dinge kann man sich auch gar nicht vorstellen oder ausdenken, aber sie passieren. Unser IT-Leiter sendete den Screenshot einer Phishing Mail an alle Kollegen mit dem Hinweis, solche oder ähnliche Links niemals anzuklicken. Ein Kollege ging daraufhin zu ihm, um ihm mitzuteilen, das die Mail wohl fehlerhaft sei, der Link ließ sich nicht anklicken 🙈😀.

Mittlerweile sind Smartphones so verbreitet, dass sie auch zum Ziel von Malwareautoren werden, aber ein ‚Trojaner‘, der es auf Windows abgesehen hat, kann auf einem iPhone natürlich nichts ausrichten. Da müssen schon Lücken des jeweiligen OS genutzt werden, solange sie nicht gepatcht sind.

 

[h00bi]

Ich brauch das Paket nicht mehr, wenn du willst kannst du es zu dir umleiten lassen.

Wir können eigentlich froh sein, dass die meisten Phishing Versuche so schlecht sind und vorallem dass trotzdem Leute darauf reinfallen. Würde darauf keiner reinfallen, wäre die Qualität viel viel besser und es würde deutlich mehr erfahrene User erwischen.

oder liege ich da falsch ?

wie in Beitrag 2 schon erwähnt, weißt du nie welche Sicherheitslücke so ein Link ausnutzt.
Einfache Grundregeln:
Es gibt nix zu verschenken.
Wenn du eine Nachricht von Unbekannt nicht erwartest, dann ist es meistens Mist.
Wenn du nirgends deine echte Handynummer angibst, kann dich außer Spammer auch niemand kontaktieren.

 

[Engaged]

dann muss ich die anfälligkeit für Viren doch schon start anzweifeln, oder liege ich da falsch ?

Ich denke auch nicht dass Smartphones so anfällig sind, habe mir jetzt erst ein neues Handy geholt, und hatte bis jetzt ein Note 8 Pro, mit allem drum und dran, haustürschlüssel, bezahlfunktion, und allen anderen Dingen die damit so gehen.
Das Handy hat schon jahrelang keine Updates mehr gesehen, aber ich mache mir da auch keine Sorgen wie bei Windows, Austausch des Handys ist nur wegen dem nachlassenden Akku erfolgt. 😂

 

[kachiri]

@h00bi
Wohl wahr. Würden weniger darauf reinfallen, wären Betrüger bereits kreativer. Allerdings dürften Entwicklung im Bereich der KI auch Betrügern bei der Arbeit helfen, ihre Fakes ohne wesentlich mehr Aufwand noch glaubwürdiger zu gestalten...

Am Ende bleibt es aber dabei: Augen auf - und zu Verschenken hat niemand etwas.

 

[Tzk]

Natürlich gibt es die, aber es sollte jedem klar sein das solche Zero-Click Exploits die absolute Ausnahme sind.

Ja, natürlich. Zumal es meist deutlich leichtere Alternativen gibt um ans Ziel zu kommen. Zero-Click und ähnliches setzt niemand ein, der nur Geld will. Eher (wie du sagst) die Vereine mit den drei Buchstaben und andere staatliche Akteure.

Wenn ich Geld will, dann ist egal welche Person mir das gibt. Wenn ich Informationen will, dann muss ich eine Person(engruppe) überwachen. Für ersteres Phishe ich, für zweiteres nehme ich Exploits.

 

[00Julius]

MMn ist speziell Apple besser gegen Malware bzw. manipulierte Software abgesichert als Android, WEIL es (leider muss man demnächst das Wort "bislang" hinzufügen) keine Möglichkeit des Sideloadings gibt.

Dadurch, dass man sich die apk-Dateien für Android von den unterschiedlichsten Quellen (davon sind doch einige dubiose dabei) herunterladen und dann installieren kann, ist die Möglichkeit einen manipulierte Software zu erhalten, deutlich größer.
Vor allem, wenn die Gier und der Geiz der Leute durchschlägt und man lieber eine gecrackte Version eines Programms oder Spiels herunterlädt als es im Play Store (oder einem anderen seriösen App-Store) zu kaufen.