Hinterlegen Sie Ihr Passwort an der Rezeption

Einige Hotels, Restaurants und Flughäfen stellen ihren Kunden während ihres Aufenthaltes kostenlos Tablets zur Verfügung. Als ich kürzlich an einer Veranstaltung in einem solchen Hotel teilnahm und dort übernachtete, hatte ich die Möglichkeit, ein eigens in meinem Zimmer installiertes iPad kostenlos zu nutzen.

Zu meiner Überraschung enthielt es nicht nur die Tagesordnung der Veranstaltung und stellte zudem eine kostenlose WiFi-Verbindung bereit, sondern es enthielt auch eine Menge persönlicher Daten von früheren Gästen, die in demselben Zimmer abgestiegen waren.

Wenn ich persönliche Informationen sage, so meine ich damit Accounts mit vorgespeicherten Passwörtern, autorisierte Sitzungen in sozialen Netzwerken, Suchergebnisse aus dem Browser (zumeist pornografische Inhalte), vollständige Kontakte, die automatisch im Adressbuch gespeichert werden, iMessages und sogar ein Schwangerschaftskalender mit realen Informationen. Es war noch nicht einmal schwierig die Identität der Frau, die den Kalender benutzt hat, festzustellen, denn sie hatte ihre persönlichen Kontaktdaten auf dem Gerät hinterlassen:

Mit den vollständigen Namen und E-Mail-Adressen im Cache des Gerätes war es nicht besonders schwierig, mit Hilfe von Google herauszufinden, dass es sich bei einigen der User um äußerst öffentliche Personen handelte, die für die Regierung des Landes arbeiten, in dem ich mich gerade aufhielt.

Die meisten Sitzungen waren noch immer geöffnet, so dass man tatsächlich auch im Namen der früheren Benutzer etwas posten oder Nachrichten versenden konnte:

In Bezug auf die Sicherheit ist das vollkommen inakzeptabel. Ein potentieller Angreifer hätte nicht nur die Möglichkeit, gesendete und empfangene Nachrichten zu lesen, sondern er hätte sich auch als das Opfer ausgeben und in seinem Namen Mitteilungen verschicken können.

Für mich ergibt sich hieraus zudem die perfekte Gelegenheit, Daten für Spear-Phishing-Angriffe auf prominente Persönlichkeiten zu sammeln. Angreifer aus dem klassischen Cybercrime-Milieu könnten ihre Opfer außerdem erpressen, was das reinste Kinderspiel wäre, da sie im Besitz aller erdenklichen Daten ihrer Opfer wären – die Namen der Pornofilme, die sie gesehen haben, eingeschlossen, und zwar mit genauer Datums- und Zeitangabe. Bedenkt man, dass einige der potentiellen Opfer öffentliche Personen sind, die für die Regierung arbeiten, ist es überaus wahrscheinlich, dass derartige Erpressungsversuche von Erfolg gekrönt wären.

Was läuft hier also falsch? Tja, ich würde sagen: alles. Erstens ist es sehr unklug, ein kostenloses öffentliches Gerät für die persönliche und private Kommunikation zu benutzen. Man kann nie wissen, ob es eine Backdoor auf dem Gerät gibt oder wer eigentlich hinter dieser Gastfreundschaft steckt. Zweitens: Wenn eine öffentliche Einrichtung seinen Gästen kostenlos mobile Geräte für die Dauer ihres Aufenthalts zur Verfügung stellen möchte, so ist es wichtig, dass diese zunächst sorgfältig konfiguriert werden, damit sensible Sicherheitspolicies angewandt werden und keine persönlichen Informationen, Passwörter usw. auf dem Gerät gespeichert werden können.

Vielleicht bin ich ja zu misstrauisch, aber wenn ich mich mit einem unbekannten und nicht vertrauenswürdigen Gerät wie einem Tablet in einem Raum befinde, das zudem mit einer Kamera und einem Mikrofon ausgestattet ist, so ziehe ich es vor, es auszuschalten und in einer Schublade zu verstauen. Ich musste das jeden Abend aufs Neue tun, nachdem das Reinigungspersonal es jeden Tag meines Aufenthalts in dem Hotel wieder zurück auf den Schreibtisch gestellt hatte.

Und auch wenn ein solches Gerät anständig konfiguriert ist und private Daten nicht sichtbar speichert, so sollte man immer bedenken, dass der nächste Gast durchaus ein IT-Experte sein könnte, der einfach ein Abbild des gesamten Gerätes erstellen und die eingegebenen privaten Daten dann Schritt für Schritt wiederherstellen könnte.

Folgen Sie mir auf twitter: @dimitribest

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.