Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
12 mal geteilt 14 Kommentare

Millionen unsicherer SIM-Karten: Hackerangriff per SMS

Meldungen über Gefahren im Android-System sind nichts neues, doch eine neu entdeckte Sicherheitslücke betrifft nicht nur Android-User, sondern auch Nutzer von iOS, Windows Phone oder BlackBerry. Das potentielle Ziel der Hacker: Veraltete SIM-Karten mit unzureichender Verschlüsselung. Was es damit auf sich hat und ob wir Grund zur Sorge haben, erfahrt Ihr in meinem Artikel.

Akku-Power satt oder neue Kameratechnik - was ist DIR wichtiger?

Wähle Akkupower oder Kameratechnik.

VS
  • 16002
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Akkupower
  • 7594
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Kameratechnik
sim hacker 02
© AndroidPIT

Die Meldung war gestern auf Zeit Online erschienen und verbreitete sich schnell im Netz, Computerbild, taz, Spiegel Online oder FAZ griffen das Thema auf, heise security brachte einen vertiefenden Artikel - und alles nur aufgrund einer unsicheren Verschlüsselungstechnik, die bei deutschen SIM-Karten schon seit vielen Jahren nicht mehr verwendet wird. Kein Grund zur Panik also. Oder doch?

Der Hintergrund

Der Sicherheitsexperte und Hacker Karsten Nohl hat eine Schwachstelle in der veralteten Verschlüsselungstechnik DES aufgespürt, die noch von zahlreichen aktiven SIM-Karten genutzt wird. Mittels einer SMS können Angreifer entsprechend verschlüsselte SIM-Karten knacken und alle Funktionen der Karten zu übernehmen, zum Beispiel den Versand von teuren Premium-SMS oder die Kontrolle über ausgehende und eingehende Anrufe. Auch das Bezahlen über NFC ließe sich mit einer geknackten SIM von Hackern steuern.

Vereinfacht erklärt funktioniert das folgendermaßen: Ein Angreifer versendet eine sogenannte stille SMS mit Steuerkommandos und gefälschter Signatur an ein Handy. Diese Nachrichten werden sonst von den Providern zum Beispiel für Wartungszwecke benutzt und bleiben vom Handybesitzer unbemerkt. Während neuere SIM-Karten solche SMS aufgrund der falschen Signatur ignorieren, senden ältere Karten eine Antwort an die Gegenseite mit dem Hinweis auf die falsche Signatur. Die dabei verschickten Daten reichen laut Nohl aus, um die Verschlüsselung der SIM-Karte zu knacken.

Das Problem

Den Angriff auf die SIM-Karte bekommt der Nutzer nicht mit. Während die zahlreichen Viren und Trojaner, vor denen immer wieder gewarnt wird, die aktive Mitarbeit des Nutzers erfordern, um Schaden anrichten zu können, passiert der SIM-Hack komplett im Stillen. Nohl demonstrierte Zeit Online und heise security, wie ein solcher Hack funktioniert. Er brauchte dafür nur wenige Minuten. Ist eine SIM-Karte erst einmal geknackt, sind die Möglichkeiten grenzenlos und der potentielle Schaden entsprechend groß.  

Entwarnung?

Zumindest hierzulande ist die Gefahr, die sich aus dieser Sicherheitslücke ergibt, eher gering. Die Netzanbieter geben Karten mit dem veralteten DES-Standard schon lange nicht mehr heraus, sondern setzen auf die neueren Techniken wie 3DES, bei denen der Schlüssel nicht 56 Bit, sondern mit 168 Bit dreimal so lang ist. Doch noch immer sind einige der alten Karten im Umlauf. Im Ausland sind die DES-Karten viel verbreiteter als bei uns. Weltweit sind laut Nohl rund eine halbe Milliarde Karten betroffen.

Die Provider wissen aber von dem Problem und filtern die gefährlichen SMS bereits, bevor sie überhaupt beim Endnutzer ankommen. Nohls Projekt ist zudem nicht so leicht nachzuahmen: Er und sein Team haben über einen Zeitraum von einem Jahr einen Großteil der 56-Bit-Schlüssel vorberechnet, Hobby-Hacker dürften bei einem ähnlichen Vorhaben schnell scheitern. Am einfachsten könnte das Problem derweil behoben werden, indem die Netzanbieter die veralteten Karten austauschen und aus dem Verkehr ziehen - doch sie scheuen die Kosten und den Aufwand, wie Zeit Online von einem ungenannten Informanten erfahren haben will. Laut ComputerBase haben die Provider mittlerweile Stellung bezogen: Die Karten der Telekom sind demnach nicht betroffen, E-Plus und O2 gehen von wenigen betroffenen Karten aus, O2 überprüfe das gerade. Von Vodafone gab es noch keine Stellungnahme.

Quelle: Zeit Online

14 Kommentare

Neuen Kommentar schreiben:
  • Gut erkannt von H. Nohl, aber bis jetzt noch kein Hackangriff(fall) bekannt....viel Panikmache dabei vielleicht...?

  • Ist unsere Zeit und die gegebene Technologie nicht bereits lange reif für vollkommen SIM-kartenfreie Verfahren (vom Ersbetrieb bis hin zu zubuchbaren Zusatzfunktionen)?
    Denn auch hier könnten alle bislang am Wirtschaftsmarkt Teilnehmenden und Teilhabenden, weiterhin und wie gewohnt mitpartizipieren.
    Dabei egal ob mit oder ohne SIM-Karte, grundlegende Risiken, etc., wird es immer geben.
    Nur der überflüssige Fummel- und Handhabungsquatsch um diese SIM-Karten, der hätte auch ein Ende.
    Wozu also noch SIM-Karten?

  • @Frank K., mapatace: Das ist ja das Problem, als Nutzer selbst kann man nicht erkennen, was für eine Karte man hat. Und von den Mobilfunkanbietern bekommt man diese Angaben auch nur schwer. Theoretisch können auch neuere Karten betroffen sein, also welche, die noch nicht drei Jahre auf dem Buckel haben.

  • @mapatace:

    Würde mich auch mal interessieren. Kann meine drei Jahre alte SIM Karte jetzt betroffen sein oder nicht?

  • *Die Info ist schon etwas veraltet aber trz gut :) ..

  • Also normal ist eure seite ja aktuell aber diese info kst schon ewig her..

  • @Rüdiger Hertel: Das ist unwahrscheinlich denke ich. Bei 56 Bit Schlüssellänge (DES) hat man 2^56 Möglichkeiten, bei 168 Bit (3DES) 2^168. Demzufolge hat man von DES auf 3DES 2^112 Möglichkeiten mehr.
    Trotzdem stimmt es schon: Auch 3DES ist mMn nicht mehr unbedingt der Stand der Technik, aber noch eine Zeit ausreichend. Ich überschlage jetzt mal die Rechenzeit bei 10 Millionen Vergleichen pro Sekunde und komme auf ungefähr 6*10^22 Tage.
    Aber das ist ja auch der naive Ansatz - man kann mit schlauer Herangehensweise die Exponenten bestimmt noch soweit begrenzen, dass wir wenigstens mit dem Rechnen fertig sind, bevor das Universum aufhört zu existieren ;)

  • Wann wurden die DES-Karten noch verteilt?

  • WIe die das Filtern. Gar nicht, die fragen einfach bei der NSA nach, welche SMS eventuell bedrohlich sein könnten. Die lesen die SMS dann vor und auf dessen Basis wird entschieden. ;-)))

  • Ich lese immer alte....? Wie alt denn ? Nirgends steht, ab wann der Nutzer sich keine Sorgen machen muss. Oder funktionieren die gar nicht mehr ?

  • @Hertel: Besser lesen. Die neuen Karten senden ja bei einer falschen Signatur keine entsprechende Meldung zurück, sondern ignorieren diese einfach. Sprich: Der Hacker bekommt gar keine Daten zurückgeschickt, mit denen er etwas anfangen könnte.

  • Sehr Interessant .Aber ihrgend wann sind die besser verschlüsselten Sim Karten auch dran.Aber eine tolle Info.Vielen Dank

  • Nummer des Versenders?

  • Oh die Filtern!.. Wie geht das ? Scannen diese den Inhalt der SMS :)
    Würde mich ja nun echt Interessieren..

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!