Sicherheitslücke: Millionen SIM-Karten lassen sich mit modifizierten SMS-Nachrichten hacken

Sicherheitslücke: Millionen SIM-Karten lassen sich mit modifizierten SMS-Nachrichten hacken

Auf der diese Woche in Las Vegas startenden Black Hat Sicherheitskonferenz werden wieder zahlreiche kritische Sicherheitslücken das Licht der Welt erblicken. Eine besonders kritische Sicherheitslücke bei SIM-Karten hat Kryptograph Dr. Karsten Nohl entdeckt und schon vorab präsentiert.

Millionen SIM-Karten nutzen einen veralteten Verschlüsselungsstandard und können per SMS aus der Ferne gehackt werden, ohne dass es der Handy-Nutzer mitbekommt. Die Mobilfunknummer des Nutzers, einen Computer und zwei Minuten Zeit – mehr braucht es nicht um die SIM-Karte aus der Ferne so umzuprogrammieren, dass Telefonate mitgehört, SMS vom Handy des Betroffenen verschickt und Anrufe auf eine andere Nummer umgeleitet werden können.

Man kann die gehackte SIM-Karte dadurch sogar aus der Ferne klonen und dann damit auf Kosten des Betroffenen telefonieren. All das, wie bereits erwähnt, ohne dass es der Nutzer merkt oder irgendetwas speziell tun muss.

Es sei gesagt, dass Nohl und sein Team für diesen Hack einen großen Teil des benötigten Schlüssels ein Jahr lang vorberechnet haben. Dafür lässt sich die Lücke aber jetzt in 2 Minuten ausnutzen.

Leider sind nicht nur alte SIM-Karten von dieser Sicherheitslücke betroffen. Selbst nagelneue Karten können mit dieser veralteten Verschlüsselung ausgestattet sein. Leider kann der Nutzer selbst in der Regel nicht erkennen, ob seine SIM-Karte diese Schwachstelle aufweist.

Die SIM-Karten des deutschen Herstellers Giesecke & Devrient seien laut eigener Aussage sicher und von dieser Schwachstelle nicht betroffenen. Giesecke & Devrient stellt auch Apples Nano-SIM her, die in iPhone 5 und iPad mini Verwendung finden.

“Die von Giesecke & Devrient kommerziell gelieferten SIM-Karten sind vor dem aktuell in den Medien beschriebenen Angriffsszenario geschützt. Dafür sorgt eine spezielle Implementierung im Betriebssystem der SIM-Karten von G&D. Die SIM-Karten reagieren nicht in der für den Angriff erforderlichen Weise, sondern blocken den Angriff erfolgreich ab.” (…) “Zudem bietet Giesecke & Devrient die deutlich verbesserte Triple-DES Verschlüsselung bei seinen SIM-Karten bereits seit mehr als einem Jahrzehnt an.“, so Giesecke & Devrient in der offiziellen Pressemitteilung.

Ironisch: Die betroffene Verschlüsselungstechnologie Single-DES wurde von IBM in Zusammenarbeit mit der NSA entwickelt.

Wie kann man sich vor dieser Schwachstelle schützen? Am besten beim Mobilfunkprovider nachfragen, ob dessen SIM-Karten betroffen sind und wenn ja, eine kostenlose neue sichere SIM-Karte einfordern.

/Update:

Laut APA sind die größten Mobilfunkanbieter Österreichs (A1, Drei und T-Mobile) von dieser Sicherheitslücke nicht betroffen. Sie verwenden neuere Verschlüsselungsstandards.

Auch die Deutsche Telekom hat sich zu Wort gemeldet. Auch ihre SIM-Karten seien sicher. (Danke Günter!)

via Engadget via Zeit Bildquelle: Sim Card via Shutterstock

iPhone-Display kaputt? Akku zu schnell leer? Kein Problem: Display oder Akku selbst tauschen mit den Komplettsets zur iPhone-Display-Reparatur oder dem iPhone-Akku-Wechsel von GIGA & Fixxoo!

Neue Artikel von GIGA APPLE

GIGA Marktplatz