Notice (8): Undefined index: language [APP/Controller/AppController.php, line 86]
Warning (512): Unable to emit headers. Headers sent in file=/var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php line=853 [CORE/src/Http/ResponseEmitter.php, line 48]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 148]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 181]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 206]
Julian Joswig IT: Blog - Third-Party Keyboards im Unternehmenseinsatz - Eine kurze Risikoanalyse

Julian Joswig: IT Blog

Third-Party Keyboards im Unternehmenseinsatz - Eine kurze Risikoanalyse

Geschrieben am 19. Dec 2017, 19:17

Die Nutzung von Third-Party Keyboards ist insbesondere im privaten Bereich weit verbreitet. Der Verbreitungsgrad erklärt sich durch die Vorteile solcher Erweiterungen, denn sie erleichtern das Erstellen längerer Texte auf Touchscreens von modernen Smartphones erheblich bspw. durch folgende Funktionen:

  • durch Wischgesten können Nachrichten deutlich schneller eingetippt werden
  • durch leistungsfähige Analyse-Algorithmik können Wörter vorgeschlagen und durch Autovervollständigung leicht übernommen werden
  • durch Bereitstellung von Spracherkennung werden Texte mittlerweile recht zuverlässig erkannt
Auf den ersten Blick erscheinen diese Funktionen hilfreich, um die Produktivität erheblich steigern zu können. Die jeweiligen Risiken bei der Benutzung der Funktionen dürfen jedoch nicht außer Acht gelassen werden.

Risiken der Nutzung

Die Nutzung der oben genannten Funktionen ist aus folgenden Gründen fragwürdig:
  • Die Third-Party Keyboards sind als Systemerweiterung umgesetzt. Jeder eingegebene Text wird von der Erweiterung erfasst und kann (theoretisch) ungefiltert das Telefon verlassen. Dazu können auch vertrauliche Informationen gehören, wie etwa Passwörter.
  • Aufgezeichnete Sprache im Falle der Spracherkennung wird in den seltensten Fällen auf dem Smartphone interpretiert, sondern zum Anbieter übertragen und dort in Text übersetzt. Hier können ebenfalls vertrauliche Informationen betroffen sein.
  • Einige Anbieter stellen Cloud-Funktionen bereit, wodurch bspw. die Ergebnisse der Analyse-Algorithmik Geräte-übergreifend synchronisiert werden können. Hier gelangen zwangsläufig Informationen zum Anbieter.

Gegenmaßnahmen

Apple hat beispielsweise bereits in iOS einige Sicherheitsmaßnahmen ergriffen, welche das Missbrauchspotenzial eindämmen. Es ist beispielsweise zu erwähnen, dass Third-Party Keyboards in Passwortfeldern, egal ob auf Webseiten oder in Apps, grundsätzlich die Nutzung von Third-Party Keyboards technisch nicht möglich ist. Weiterhin bieten sich folgende Maßnahmen an:
  • Nutzung der Managed App Konfiguration unterbindet die Nutzung von Third-Party Keyboards in allen Managed Apps (d. h. dienstlich genutzten Apps)
  • Verhinderung der Installation von Third-Party Keyboards durch Setzen auf eine Blacklist per Mobile Device Management System (bietet jedoch nur einen unvollständigen Schutz, da die Blacklist in der Realität niemals vollständig alle Third-Party Keyboards erfassen kann)
Abschließend ist zu sagen, dass die meisten Anbieter in den Datenschutzbestimmungen ihrer Apps eine Verwendung der Informationen ausschließen bzw. einen Datentransfer explizit verneinen, jedoch kann in der Realität nicht ausgeschlossen werden, dass eine Datenübertragung stattfindet, wie der Fall des ai.type Keyboard Hacks eindrucksvoll gezeigt hat. Möchte man als Unternehmen die Vorteile eines Third-Party Keyboards nutzen, insbesondere die Nutzung von Wischgestern, und gleichzeitig die Vertraulichkeit von Daten gewährleisten, bleibt wohl nur die Entwicklung bzw. Programmierung eines solchen Third-Party Keyboards. Immerhin gibt es dann hier die Möglichkeit, selbst Einfluss auf die Funktionalität nehmen zu können.

Weitergehende Informationen

Eine umfangreiche Analyse zu den Risiken von Third-Party Keyboards kann dem Artikel Security of Third-Party Keyboard Apps on Mobile Devices entnommen werden.

Julian Joswig

Julian Joswig Facebook Julian Joswig LinkedIn Julian Joswig Twitter Julian Joswig XING

Über diesen Blog

Was ist der Inhalt dieses Blogs, fragt ihr euch vielleicht? Mein Name ist Julian Joswig und ich bin großer Fan von IT und Technologie (hauptsächlich Linux, Server, Netzwerke und alle damit verbundenen Themen). Manchmal beiße ich mir an schwierigen Sachverhalten fast die Zähne aus. Habe ich jedoch eine Lösung gefunden, möchte ich diese mit der Welt teilen. Beruflich arbeite ich als Management Consultant in Deutschland mit Fokus auf IT und Business.

Neueste Artikel:

Artikelarchiv:

Twitter Timeline: