Sicherheitslücke bei SIM-Karten: 750.000 Mobiltelefone durch fehlerhafte Verschlüsselung gefährdet

Daniel Kuhn 11

Eine neue Sicherheitslücke ist aufgetaucht. Diesmal betrifft sie allerdings nicht ein bestimmtes mobiles Betriebssystem, sondern die in Smartphones und Tablets zum Einsatz kommenden SIM-Karten: Durch einen Trick können Hacker die volle Kontrolle über Karten mit dem alten DES-Standard übernehmen und somit SMS verschicken, Anrufe tätigen und sogar Zahlungen vornehmen, ohne dass der Nutzer es bemerkt.

Sicherheitslücke bei SIM-Karten: 750.000 Mobiltelefone durch fehlerhafte Verschlüsselung gefährdet

Sicherheitsexperte Karsten Nohl, Gründer der deutschen Firma Security Research Labs, hat eine massive Sicherheitslücke in der Verschlüsselung von SIM-Karten entdeckt, die den alten DES-Standard (Data Encryption Service) ausnutzt: Wie die New York Times berichtet, ist Nohl in der Lage, mit einem normalen PC in knapp 2 Minuten die Kontrolle über eine derartige SIM-Karte zu übernehmen. Dafür sendet er eine gefälschte Provider-Nachricht an das entsprechende Telefon, wodurch der 56 Bit-Sicherheitsschlüssel der Karte offen gelegt wird. Darauf wird eine SMS, die einen Virus beinhaltet an das Telefon verschickt, mit dem er in der Lage ist, den Telefonbesitzer zu imitieren und somit SMS zu verschicken, Anrufe zu tätigen und sogar Zahlungen über den Carrier vorzunehmen.

Nohl hat diese Lücke in den letzten zwei Jahren an über 1000 Telefonen getestet, 25 Prozent der DES-Karten sendeten die nötige automatische Antwort zurück. Die Sicherheitslücke wurde bereits der GSMA übermittelt, die kurz darauf die SIM-Kartenhersteller darüber in Kenntnis gesetzt hat. Derzeit wird unter Hochdruck überlegt, wie man mit dieser Lücke umgehen soll. Auf der Black Hat-Sicherheitskonferenz, die am 1. August in Las Vegas beginnt, will Nohl die Lücke im Detail vorstellen und sein Vorgehen erläutern.

SIM-Karten mit dem DES-Standard sind inzwischen zwar sehr selten geworden, da die meisten Hersteller längst auf den sichereren triple-DES- oder AES-Standard (Advanced Encryption Standard) umgestiegen sind. Nichtsdestotrotz sind noch rund 3 Milliarden DES-SIM-Karten weltweit im Umlauf, von denen nach Schätzung Nohls rund 750.000 von der Sicherheitslücke betroffen sind.

Als Nutzer gibt es derzeit leider keine Möglichkeit herauszufinden, welche Art von SIM-Karte man besitzt. Wer aber in den letzten 2 Jahren eine neue Karte erhalten hat, kann zumindest davon ausgehen, keine DES-SIM mehr zu benutzen, da die Provider seit dem auf neuere Standards setzen – die Telekom schließt sogar gänzlich aus, dass die eigenen Karten betroffen sind. Wer auf Nummer Sicher gehen will, sollte sich allerdings von seinem Provider eine neue SIM-Karte zuschicken lassen.

Quelle: New York Times [via The Verge]

Zu den Kommentaren

Kommentare zu dieser News

* Werbung