Der mediale Hype ist echt! Seit Pokemon Go auf dem Markt ist, hat es bereits die bekannte Dating App Tinder überholt und nähert sich nun Twitter. Seit gestern ist die App auch offiziell in Deutschland erhältlich. Nutzer von Bitcoin-Wallets sollten jedoch Vorsicht walten lassen.

Der Artikel wurde zuletzt aktualisiert am 30. Juni 2019 05:06 Uhr von Mark Preuss

Die Sozialen Medien sind überflutet mit Nachrichten und Insider-Wissen zu dem neuen GPS-basierten Spiel von Niantic, Google und Nintendo. Pokemon erleben dank neuer Technologie ihr Comeback.

Der Release bezog sich zunächst nur auf Neuseeland und Australien, wobei seitdem viele Spieler, auch aus Europa und Amerika, ihre APK-Datei bereits vorher von dritten Webseiten bezogen haben. Gerade Nutzer von Bitcoin-Wallets sollten hier vorsichtig sein.

So ist es zwar verständlich, dass die App auf die Kamera und den Standort des Handys zugreifen darf – ohne sie wäre die Augmented Reality und das GPS nutzlos. Was irgendwo dennoch eigenartig ist, wofür der zusätzliche Zugriff auf Textnachrichten, die Kontaktliste und lokal gespeicherte Medien außerhalb des Spiele-Ordners sein soll. Für das letztere könnte man Mutmaßen, dass es mit den Karten zusammenhängt, die durch Google Maps zur Verfügung gestellt werden.

APKs von Webseiten Dritter bieten praktisch immer ein Risiko. Eingebaute “Backdoors” könnten Schaden auf dem Smartphone anrichten. Wie Trojaner könnte so der Zugriff auf Bitcoin Wallets, aber auch andere Software, ermöglicht werden.

Das Resultat wäre, dass das ohnehin ständig mit dem Internet verbundene Smartphone alle Mittel des Wallets verliert. Sei es Bitcoin, Ethereum oder eine andere digitale Währung.

Der Umgang mit Wallets

Im Juni berichtete BTC-Echo von Bestrebungen des bekannten Sicherheits-Pionier McAfee. Neben seinem wachsenden Gremium aus Blockchain-Experten, erklärte er auch wie unvorsichtig viele Menschen mit ihren Wallets umgehen.

McAfee erklärte:

“Ich bin erschrocken wenn ich Leute mit Wallets auf ihrem Smartphone sehe. Wenn Sie mir ihr Handy geben, könnte ich in 10 Minuten im Besitz ihres ganzen Geldes sein.”

Es mag eine größere Risikobereitschaft vorherrschen, gerade weil man es nicht mit physischen Objekten zu tun hat. Dennoch sollte man dieselben Sicherheitsvorkehrungen, wenn nicht sogar bessere, treffen.

Das beginnt schon mit der Installation eines Smartphone Wallets. BTC-Echo hat unter anderem bereits Jaxx vorgestellt, welches mit aktuellen Sicherheitsüberprüfungen auf Herz und Nieren getestet wird. Die bei der Installation generierte Passphrase sollte am besten nur auf Papier geschrieben werden und an einem sicheren Ort wie einem Tresor aufbewahrt werden.

Die “faule” Variante wie Speicherung als Text oder Bilddatei (Screenshot) birgt wieder eigene Risiken, die die Existenz einer Passphrase relativ sinnlos erscheinen lässt. Was wenn ein Angreifer diese Daten auslesen kann? IT-Sicherheitsexperten gehen dabei immer vom worst case aus, um maximale Sicherheit anzustreben.

App-Dateien sollten zudem nur aus vertrauten Quellen geladen werden. Die App-Stores von Google und Apple überprüfen die Software auf Schadcode bevor sie hochgeladen werden darf. Wer ganz genau sein möchte, kann den Hash-Code der Software auslesen und vergleichen lassen.

Dazu benötgt man jedoch entweder den Hash-Code der Originalversion (wird auf manchen Seiten angegeben, um zu beweisen oder prüfen, dass es die echte Software ist), oder man vergleicht den Hash der heruntergeladenen Software mit dem Hash der Originalsoftware.

Ein Hash ist quasi ein “Fingerabdruck” einer Datei, oder anderen Folge von Daten. Jegliche kleine Änderungen führt zu einem großen Unterschied im Hash. Dieser Effekt ist als Lawinen-Effekt bekannt. Der Hash ist also das beste Identifikationsmerkmal für Veränderungen innerhalb einer Software.

BTC-Echo