Auf der Black-Hat Sicherheitskonferenz haben die Experten Mathew Solnik und Marc Blanchou eine Sicherheitslücke aufgedeckt, welche nicht nur sämtliche mobilen Betriebssysteme betrifft, sondern auch andere Systeme, welche eine automatische Update-Funktion oder Remote Configuration über das Internet bieten. Die Lücke taucht in der Softwarekomponente vDirect Mobile von RedBend Software auf, die in nahezu allen Smartphones mit Android, iOS und Windows Phone, wie auch in PKWs mit vernetzten Boardsystemen, Mobilfunk-Hotspots und Mobilfunk-Modulen in Laptops zum Einsatz kommt. Diese wird zum einen zum Verteilen von Systemupdates verwendet, aber dient auch der Fern-Konfiguration von Proxy-Einstellungen und APN-Anpassung der Netzbetreiber.
Sicherheitslücke erlaubt Umkonfiguration der Geräte
Laut den Sicherheitsexperten sei die Lücke relativ leicht auszuhebeln. Es sei lediglich die IMEI (Weltweit einzigartige Nummer) des Gerätes notwendig und ein Zugangsschlüssel, welcher bei allen Geräten eines Netzbetreibers identisch ist. Mit diesen Daten könnten Angreifer ein eigenes virtuelles Mobilfunknetz aufbauen, zu welchem sich die Geräte dann verbinden und auf diese Weise Daten wie die APN-Zugänge oder Proxy-Einstellungen verändern und so den gesamten Datenverkehr dauerhaft umleiten und überwachen. Besonders für Spionagezwecke könnte diese Sicherheitslücke ausgenutzt werden.
Die Existenz der Lücke wurde bereits vor der Sicherheitskonferenz an den Entwickler RedBend Software übermittelt, welcher auch bereits ein Update der Software zur Verfügung stellt. Wann aber auch die Mobilfunk-Betreiber das Update an Geräte und Datenmodule verteilen, ist noch nicht bekannt. Zwar ist der Aufwand recht hoch, sich so zugriff auf die Geräte und Daten zu verschaffen, doch einen effektiven Schutz gibt es momentan nicht.
Quelle: Heise