{"id":3311,"date":"2025-05-26T04:00:00","date_gmt":"2025-05-26T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3311"},"modified":"2025-05-26T04:00:00","modified_gmt":"2025-05-26T04:00:00","slug":"sieben-gangige-wege-ein-smartphone-zu-hacken","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3311","title":{"rendered":"Sieben g\u00e4ngige Wege, ein Smartphone zu hacken"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Angriffsvektoren gibt es etliche, doch wenn der Mensch aufpasst, lassen sich viele neutralisieren.<\/p>\n

Tero Vesalainen \u2013 shutterstock.com<\/p>\n<\/div>\n

Mobiltelefone gelten gemeinhin zwar als sicherer als PCs, sind aber dennoch anf\u00e4llig f\u00fcr Angriffe \u2013 insbesondere durch Social Engineering<\/a> und andere Hacking<\/a>-Methoden. Die sieben am weitesten verbreiteten Wege, ein Smartphone zu hacken, sind dabei:<\/p>\n

Zero-Click-Spyware<\/p>\n

Social Engineering<\/p>\n

Malvertising<\/p>\n

Smishing<\/p>\n

Gef\u00e4lschte Apps<\/p>\n

Pretexting<\/p>\n

Physischer Zugriff<\/p>\n

1. Zero-Klick-Spyware<\/strong><\/h2>\n

Die gef\u00e4hrlichsten und raffiniertesten Angriffe auf Smartphones sind sogenannte Zero-Klick-Angriffe, da sie keine offensichtliche Handlung der Nutzer erfordern. Kommerzielle \u00dcberwachungsanbieter (CSVs<\/a>), die oft als kriminelle Gruppen agieren, setzen solche Attacken ein und verkaufen Zero-Day-Exploits<\/a>.<\/p>\n

Laut Sicherheitsexperte Roger Grimes<\/a>, Evangelist f\u00fcr datengesteuerte Verteidigung bei KnowBe4, sind CSVs auch f\u00fcr die meisten dieser Exploits \u00a0Sicherheitsl\u00fccken verantwortlich \u2013 besonders auf Mobilger\u00e4ten. Bereits 2023 wurden Zero-Days h\u00e4ufiger ausgenutzt als andere bekannte Schwachstellen \u2013 oft ohne dass das Opfer etwas tun musste, berichtet er.<\/p>\n

Grimes betont, dass viele Zero-Click-Exploits so einfach sind wie das blo\u00dfe Senden einer Nachricht \u2013 ohne dass der Nutzer sie sehen oder \u00f6ffnen muss. Solche Angriffe seien sehr effektiv und k\u00f6nnen auf fast alle m\u00f6glichen Opfer abzielen. Diese Angriffe werden oft f\u00fcr sechs- oder siebenstellige Summen an kommerzielle Anbieter oder Nationalstaaten verkauft, merkt der Security-Experte an. \u201eEs wird gemunkelt, dass hinreichend f\u00e4hige Nationalstaaten wie die USA \u00fcber Tausende von Zero-Click-Angriffen verf\u00fcgen \u2026 und sie bei Bedarf einsetzen.\u201c<\/p>\n

Technisch basieren sie oft auf klassischen Methoden wie Buffer Overflow, bei denen allein der Empfang einer Nachricht gen\u00fcgt, um Schadcode auszuf\u00fchren. Grimes sch\u00e4tzt, dass rund 15\u00a0Prozent der Exploits keinerlei Nutzerinteraktion ben\u00f6tigen.<\/p>\n

David Redekop, CEO von ADAMnetworks, betont, dass Zero-Click-Exploits zwar eine ernsthafte und anhaltende Bedrohung f\u00fcr hochrangige Ziele darstellen, \u201eaber nicht f\u00fcr die breite Masse.\u201c Gew\u00f6hnliche Benutzer sind mit einer Vielzahl von weniger technologisch anspruchsvollen Angriffen konfrontiert, die jedoch in vielen F\u00e4llen genauso gef\u00e4hrlich sein k\u00f6nnen.<\/p>\n

2. Social Engineering<\/strong><\/h2>\n

Der einfachste Weg f\u00fcr Hacker, in ein Smartphone einzudringen, ist, den Nutzer zu t\u00e4uschen \u2013 das Ziel von Social-Engineering-Angriffen. Zwar sind mobile Betriebssysteme besser gesch\u00fctzt als PCs oder Server und der Code von Anwendungen wird in einem Sandbox-Modus ausgef\u00fchrt, der verhindert, dass er seine Privilegien ausweitet und das Ger\u00e4t \u00fcbernimmt.<\/p>\n

Dieser Schutz erfordert jedoch oft aktive Nutzerentscheidungen nach Popups mit Sicherheitshinweisen. Nehmen diese \u00fcberhand, werden sie gerne von Nutzern ignoriert, was die Wirksamkeit des Modells untergr\u00e4bt.<\/p>\n

Hinzu komme, so Catalino Vega, Sicherheitsanalyst bei Kuma, dass Berechtigungen meist mit dem Zugriff auf Funktionen f\u00fcr eine bessere User Experience verkn\u00fcpft sind, so dass die meisten Nutzer einfach allen Anforderungen zustimmen. Gleichzeitig weist Joshua McKenty, CEO und Mitbegr\u00fcnder von Polyguard, darauf hin,\u00a0 dass klassische Social-Engineering-Angriffe gerade ein Comeback erlebten, verst\u00e4rkt durch KI-Technologien wie<\/p>\n

Deepfakes,<\/p>\n

personalisierte Phishing-Mails und<\/p>\n

Identit\u00e4tsbetrug basierend auf geleakten Daten.<\/p>\n

3. Malvertising<\/strong><\/h2>\n

Ein traditioneller Mechanismus, um betr\u00fcgerischen Dialogfelder zu erzeugen, sind so genannte \u201eMalvertisements<\/a>\u201c. Diese st\u00fctzen sich auf die f\u00fcr das \u00d6kosystem der mobilen Werbung entwickelte Infrastruktur, sei es in einem Browser oder in einer App.<\/p>\n

Khadem Badiyan, CTO von Polyguard, stuft Malvertising allerdings als r\u00fcckl\u00e4ufig ein, bedingt durch<\/p>\n

bessere Browser-Sicherheit,<\/p>\n

striktere App-Store-Richtlinien und<\/p>\n

den Wechsel von Web- zu App-Nutzung<\/p>\n

Sein Kollege Redekop warnt jedoch davor, diese Technik zu untersch\u00e4tzen. Trotz des R\u00fcckgangs bleibe diese Art von Angriff weiterhin relevant. \u201eWenn man bedenkt, dass Google regelm\u00e4\u00dfig die Anzahl der entfernten Domains \u00fcber seine TAG-Bulletins meldet und dass Dritte berichten, dass Google im Jahr 2024 5,1 Milliarden sch\u00e4dliche Anzeigen blockiert und 39,2 Millionen Konten von Werbetreibenden gesperrt hat, ist klar, dass das Problem des Malvertising noch lange nicht ausgestanden ist\u201c, erkl\u00e4rt der Security-Experte.<\/p>\n

4. Smishing<\/strong><\/h2>\n

Ein weiterer Vektor, den Angreifer nutzen, um ihren Opfern infizierte Links zukommen zu lassen, ist das SMS-Phishing, auch bekannt als Smishing<\/a>. Solche Attacken werden von Cyberkriminellen genutzt, um Malware zu verbreiten \u2013 oft durch gef\u00e4lschte Nachrichten, die scheinbar von vertrauensw\u00fcrdigen Personen stammen. Nutzer werden so zum \u00d6ffnen sch\u00e4dlicher Anh\u00e4nge verleitet.<\/p>\n

Laut Experten wie Joshua McKenty, CEO von Polyguard, wird Smishing durch das Umgehen von SMS-Link-Schutzmechanismen, etwa bei Apple, weiter erleichtert. Angreifer nutzen Schwachstellen in vertrauensw\u00fcrdigen Domains, spezielle URL-Formate und Parsing-Fehler, um b\u00f6sartige Links unbemerkt zu platzieren.<\/p>\n

5. Gef\u00e4lschte Apps<\/strong><\/h2>\n

Ein anderer Social-Engineering<\/a>-Trick, um Menschen davon zu \u00fcberzeugen, ihre Smartphones mit Malware<\/a> zu infizieren, sind gef\u00e4lschte Apps.<\/p>\n

Da Mobiltelefone \u00fcber ein Sandbox-Modell verf\u00fcgen, das den Anwendungscode vom Betriebssystem isoliert, waren diese Arten von Apps fr\u00fcher speziell auf \u201ejailbroken\u201c iPhones ausgerichtet. Laut Rocky Cole, Mitbegr\u00fcnder von iVerify, spielt der Begriff \u201eJailbreak<\/a>\u201c beim iOS-Hacking heute allerdings kaum noch eine Rolle. Moderne iOS-Angriffe seien hochentwickelt und stammten meist von staatlichen Akteuren oder Spyware-Anbietern. \u201eBei Android hingegen erfolgen Hacks h\u00e4ufig durch das Einschleusen sch\u00e4dlicher Apps in einen der AppStores oder durch Sideloading\u201c, f\u00fcgt er hinzu.<\/p>\n

6. Pretexting<\/strong><\/h2>\n

Wenn Nutzer ihre Ger\u00e4te nicht selbst kompromittieren, greifen Angreifer oft auf sogenannte Pretexting<\/a>-Techniken zur\u00fcck: Sie geben sich mit gesammelten pers\u00f6nlichen Daten gegen\u00fcber dem Mobilfunkanbieter als das Opfer aus. So k\u00f6nnen sie per SIM-Swapping die Telefonnummer auf ein eigenes Ger\u00e4t \u00fcbertragen.<\/p>\n

Dadurch erhalten sie Zugriff auf Anrufe, SMS und Sicherheitscodes \u2013 etwa f\u00fcr die Zwei-Faktor-Authentifizierung. Hiermit \u00fcbernehmen die Kriminellen effektiv die Kontrolle \u00fcber das Konto des Opfers.<\/p>\n

7. Physischer Zugriff auf das Telefon<\/strong><\/h2>\n

Eine der offensichtlichsten \u2013 aber gerne \u00fcbersehenen \u2013 M\u00f6glichkeiten, besteht darin Malware auf dem Telefon einer anderen Person physisch zu installieren. Dies kann bei h\u00e4uslicher Gewalt oder Stalking-Szenarien vorkommen, wird aber auch f\u00fcr Unternehmensspionage genutzt.<\/p>\n

Wie Polygaurd-Mann Badiyan ausf\u00fchrt, k\u00f6nnen Angreifer Spionage-Apps wie FlexiSPY unbemerkt installieren, oder b\u00f6sartige Konfigurationsprofile (besonders in iOS) oder via Sideloading installierte APKs nutzen, um Daten umzuleiten, den Netzwerkverkehr zu manipulieren oder dauerhafte Hintert\u00fcren einzubauen. Sogar \u00fcber manipulierte Hardware wie Ladekabel l\u00e4sst sich Malware einschleusen. Besonders gef\u00e4hrlich ist es, wenn Angreifer den Ger\u00e4te-Passcode kennen. Hiermit sind sie dann in der Lage biometrische Daten hinzuf\u00fcgen und sich dauerhaft Zugang verschaffen.<\/p>\n

Sch\u00fctzen lassen sich Ger\u00e4te sich am effektivsten mit<\/p>\n

starken Passcodes,<\/p>\n

eingeschr\u00e4nktem USB-Zugriff bei gesperrtem Ger\u00e4t und<\/p>\n

regelm\u00e4\u00dfiger \u00dcberpr\u00fcfung von Profilen und Sicherheitseinstellungen.<\/p>\n

Kaum mehr Bluetooth- und Wi-Fi-Hacks<\/strong><\/h2>\n

Zwei einst g\u00e4ngige Methoden, um Zugriff auf Mobiltelefone und deren Daten zu erlangen \u2013 Bluetooth und Wi-Fi \u2013 sind laut den Sicherheitsexperten inzwischen weitgehend aus der Mode gekommen.<\/p>\n

Redekop erkl\u00e4rt, dass Wi-Fi als Angriffsvektor zunehmend unwirksam ist, da<\/p>\n

Nutzer vermehrt VPNs verwenden,<\/p>\n

moderne Wi-Fi-Hardware Sicherheitsl\u00fccken schlie\u00dfe und<\/p>\n

viele Dienste seit Snowden stark verschl\u00fcsselt seien.<\/p>\n

Hierdurch w\u00fcrden Man-in-the-Middle-Angriffe erschwert. Joshua McKenty erg\u00e4nzt, dass auch Bluetooth-Exploits wie BlueBorne dank regelm\u00e4\u00dfiger Updates und strengeren Berechtigungen stark zur\u00fcckgegangen sind.<\/p>\n

APIs und Rooting als Zugangsh\u00fcrden<\/strong><\/h2>\n

Obwohl Smartphone-Betriebssysteme auf Unix basieren, unterscheidet sich ihre Architektur stark von PCs oder Servern, wodurch typische Exploits kaum funktionieren. APIs steuern die Kommunikation, und Befehlszeilenzugriff ist meist nur durch Rooting oder Jailbreaking m\u00f6glich. Dennoch existieren Sicherheitsl\u00fccken, die von hochentwickelten Angreifern \u2013 etwa staatlichen Gruppen wie der NSO \u2013 genutzt werden, um vollst\u00e4ndige Kontrolle \u00fcber Ger\u00e4te zu erlangen und gezielt Personen auszuspionieren.<\/p>\n

Angreifer, die Zugriff auf ein Device erhalten, k\u00f6nnen auf viele sensible Daten zugreifen, die von Apps in leicht lesbaren Formaten gespeichert werden, wie<\/p>\n

SQLite-Datenbanken,<\/p>\n

Browser-Cookies,<\/p>\n

Cache oder<\/p>\n

Absturzdateien.<\/p>\n

Oft sind diese Informationen unverschl\u00fcsselt. Entwicklungswerkzeuge und Standard-Dienstprogramme erleichtern es Angreifern, diese Daten zu extrahieren, zu analysieren oder zu ver\u00e4ndern. Bei verschl\u00fcsselten Daten k\u00f6nnen spezialisierte Tools wie Frida zum Entschl\u00fcsseln eingesetzt werden.<\/p>\n

Tr\u00fcgerisches Vertrauen in Smartphone-Sicherheit<\/strong><\/h2>\n

Trotz wirksamer Sicherheitsmechanismen und vorsichtiger Nutzer haben Angreifer durch ihre Beharrlichkeit noch einen weiteren Vorteil: Sie nutzen automatisierte Methoden, um Schwachstellen in mobilen Systemen schnell zu erkennen und auszunutzen.<\/p>\n

Eine zentrale Schwachstelle bleibt dabei die weitverbreitete Selbstzufriedenheit der Nutzer, die Smartphones f\u00e4lschlicherweise als besonders sicher betrachten. Cole betont, dass mobile Ger\u00e4te l\u00e4ngst keine Ausnahmen mehr sein d\u00fcrfen \u2013 sie m\u00fcssen in jede umfassende Sicherheitsstrategie f\u00fcr Endger\u00e4te integriert werden.<\/p>\n

Die Zeichen richtig deuten<\/strong><\/h2>\n

Wer sich Sorgen macht, dass das Mobiltelefon gehackt wurde, sollte auf folgende Warnhinweise zweier Experten achten:<\/p>\n

Redekop warnt davor, aufmerksam zu sein, wenn auf dem Smartphone Apps auftauchen, die man selbst nicht installiert hat. Solche Anwendungen k\u00f6nnten harmlos erscheinen, in Wahrheit aber im Hintergrund sch\u00e4dliche Funktionen ausf\u00fchren. Besonders kritisch seien Apps, die \u00fcber weitreichende Berechtigungen verf\u00fcgen, die f\u00fcr ihren eigentlichen Zweck aber gar nicht notwendig sind. So ist beispielsweise der Zugriff auf den Standort in vielen F\u00e4llen \u00fcberfl\u00fcssig \u2013 mit Ausnahme von Navigations-Apps wie Karten.<\/p>\n

Chris Hauk, Verbraucherschutzbeauftragter bei Pixel Privacy, weist zudem darauf hin, dass<\/p>\n

ein pl\u00f6tzlicher Anstieg des Datenverbrauchs,<\/p>\n

unerkl\u00e4rliche Neustarts,<\/p>\n

fremde Ger\u00e4usche w\u00e4hrend Telefonaten oder<\/p>\n

eine stark verk\u00fcrzte Akkulaufzeit<\/p>\n

Hinweise daf\u00fcr seien k\u00f6nnen, dass Ger\u00e4t mit Spyware oder Malware infiziert ist.<\/p>\n

Solche Schadprogramme agieren im Hintergrund, \u00fcbertragen unbemerkt Daten oder \u00fcberwachen die Aktivit\u00e4ten des Nutzers. Das \u00e4u\u00dfere sich letztlich in auff\u00e4lligem und ungew\u00f6hnlichem Verhalten des Ger\u00e4ts, so der Experte.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Angriffsvektoren gibt es etliche, doch wenn der Mensch aufpasst, lassen sich viele neutralisieren. Tero Vesalainen \u2013 shutterstock.com Mobiltelefone gelten gemeinhin zwar als sicherer als PCs, sind aber dennoch anf\u00e4llig f\u00fcr Angriffe \u2013 insbesondere durch Social Engineering und andere Hacking-Methoden. Die sieben am weitesten verbreiteten Wege, ein Smartphone zu hacken, sind dabei: Zero-Click-Spyware Social Engineering Malvertising […]<\/p>\n","protected":false},"author":0,"featured_media":3312,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3311","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3311"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3311"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3311\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3312"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}