Da gehört schon einiges dazu, vor allem remote, d.h., wenn man das Smartphone nicht physisch vorliegen hat. Es ist ja nicht damit getan, eine App zu schreiben, die im Hintergrund mehr macht als sie angibt. Denn um zum Beispiel einen Online Banking Betrug auszuführen, muss die App ja an den geheimen Schlüssel der Bank-App herankommen, und der ist ja durch das sog. Sandbox Prinzip geschützt: eine App kann der anderen nicht in deren Daten gucken.

Der Angreifer muss als versuchen, in das Betriebssystem (OS, z.B. iOS) hineinzukommen. Und das ist nicht einfach, man braucht da Informationen über bestehende, dem Hersteller unbekannte Lücken, über die die Angreifer-App, wenn sie vom Benutzer downgeloaded wird, heimlich in das OS hieneinkommt und es dort "von innen" infiltriert. Solche Lücken gibt es, siehe der link im thread-Titel.
Aber es ist aufwendig, die zu finden, oder teuer (iOS 1/2 Mill. USD)

Wenn die Smartphone OS's nicht nach dem Princeton Prinzip (Programmdateien sind Teil der Daten), sondern nach dem Harvard-Prinzip aufgebaut wären (Programme, insbesondere die des OS selber, sind getrennt von den Daten), dann könnte ich mir vorstellen, dass man das Smartphone "sicher" machen könnte. Aber so wie die OS' (iOS, Android) sind (und bleiben), wahrscheinlich niemals: mit einer gepatchten Lücke taucht die nächste auf.

Bernd Borchert