Fr. 08. August 2014 um 19:08

Sicherheitslücke in allen mobilen Betriebssystemen entdeckt

von Marc Hoffmann3 Kommentare

Auf der Black-Hat Sicherheitskonferenz haben die Experten Mathew Solnik und Marc Blanchou eine Sicherheitslücke aufgedeckt, welche nicht nur sämtliche mobilen Betriebssysteme betrifft, sondern auch andere Systeme, welche eine automatische Update-Funktion oder Remote Configuration über das Internet bieten. Die Lücke taucht in der Softwarekomponente vDirect Mobile von RedBend Software auf, die in nahezu allen Smartphones mit Android, iOS und Windows Phone, wie auch in PKWs mit vernetzten Boardsystemen, Mobilfunk-Hotspots und Mobilfunk-Modulen in Laptops zum Einsatz kommt. Diese wird zum einen zum Verteilen von Systemupdates verwendet, aber dient auch der Fern-Konfiguration von Proxy-Einstellungen und APN-Anpassung der Netzbetreiber.

Sicherheitslücke erlaubt Umkonfiguration der Geräte

Laut den Sicherheitsexperten sei die Lücke relativ leicht auszuhebeln. Es sei lediglich die IMEI (Weltweit einzigartige Nummer) des Gerätes notwendig und ein Zugangsschlüssel, welcher bei allen Geräten eines Netzbetreibers identisch ist. Mit diesen Daten könnten Angreifer ein eigenes virtuelles Mobilfunknetz aufbauen, zu welchem sich die Geräte dann verbinden und auf diese Weise Daten wie die APN-Zugänge oder Proxy-Einstellungen verändern und so den gesamten Datenverkehr dauerhaft umleiten und überwachen. Besonders für Spionagezwecke könnte diese Sicherheitslücke ausgenutzt werden.

 

Die Existenz der Lücke wurde bereits vor der Sicherheitskonferenz an den Entwickler RedBend Software übermittelt, welcher auch bereits ein Update der Software zur Verfügung stellt. Wann aber auch die Mobilfunk-Betreiber das Update an Geräte und Datenmodule verteilen, ist noch nicht bekannt. Zwar ist der Aufwand recht hoch, sich so zugriff auf die Geräte und Daten zu verschaffen, doch einen effektiven Schutz gibt es momentan nicht.

 

Quelle: Heise

Das könnte Sie auch interessieren

3 Antworten zu “Sicherheitslücke in allen mobilen Betriebssystemen entdeckt”

  1. xuserx sagt:

    Besteht die Gefahr auch für branding-freie Geräte?

  2. Setter sagt:

    Ja, das hat nichts mit dem Branding zu tun.
    Diese Funktion erlaubt es Mobilfunkanbieter im Auftrag des Kunden ein Handy aus der Ferne zu konfigurieren.
    Gerade bei Branding-Freie Geräte bei denen in der Vergangenheit keine automatische Konfiguration bei der Einrichtung stattfand, konnte der Kunde über die Service-Internetseite z.B. bei T-Mobile es aus der Ferne einrichten lassen.
    Man hatte quasi nur einen Haken gesetzt was man haben möchte und auf weiter geklickt Kurz danach kam auf dem Handy die Information „ihre Zugangsdaten wurden eingerichtet“. Teilweise sogar ohne das man es auf dem Handy bestätigen musste.

  3. Tempest2k sagt:

    Ich steige bald auf´s Morsen um. Oder Rauchzeichen. Wobei, die kann ja auch jeder mitlesen. Mist. 😉

Schreibe einen Kommentar

Teilen