Anzeige

Fehlerhafte Handys

Arsenal an Fehlern gefährdet Mobilfunkteilnehmer

Nokias im Jahr 2008 entdeckter Curse-of-Silence-Angriff ist kein Einzelfall. Fast alle Handyhersteller haben Probleme mit Fehlern beim Umgang mit dem Short Message Service (SMS). Abstürze und unbrauchbare Handys sind die Folge.

Anzeige

Auf dem 27C3 haben Collin Mulliner und Nico Golde Angriffswege dargelegt, die Potenzial für großes Unheil haben. Verantwortlich dafür sind zahlreiche Fehler in besonders günstigen sogenannten Feature Phones. Das sind Handys mit MP3-Player-Funktion oder einem einfachen Browser. Während ihrer Forschungsarbeiten haben Mulliner und Golde rund 120.000 Kurzmitteilungen per SMS verschickt und sind so auf genug Fehler per Fuzzing gestoßen, um ganze Handyreihen auszuschalten. Betroffen ist praktisch jeder große Hersteller von Mobilfunktelefonen.

Die beiden Sicherheitsforscher der TU-Berlin haben sich auf einfache Handys konzentriert, weil dort das größte Potenzial liegt. Sie sind billig und die Mehrheit der Nutzer weltweit setzen auf solche mobilen Telefone. Smartphones sind im Vergleich zu dieser Art von Handys kaum verbreitet.

Die Auswirkungen der Angriffe sind teils drastisch. Sofortige Abbrüche eines Telefongesprächs oder gar Netzabbrüche sind die Folge. Einige Handys zeigen einen White Screen of Death oder starten sich neu. Manchmal wird die SMS-Behandlung gleich komplett ausgesetzt, bis die unangenehme Kurzmitteilung aus dem Gerät gelöscht wurde. Das setzt allerdings voraus, dass die SMS-Anwendung diese Mitteilung auch anzeigt. In einigen wenigen Fällen gelang es, über den Angriff ein Telefon komplett außer Gefecht zu setzen.

Problematisch sind Angriffe, bei denen das Telefon den Empfang einer Schad-Kurzmitteilung gar nicht erst dem Netzbetreiber meldet. Das Handy stürzt ab, startet neu und bekommt vom Netzwerk erneut die angeblich nicht zugestellte Kurzmitteilung neu zugesandt. Der Nutzer selbst kann sich so gar nicht schützen, da er nur nach einer Empfangsbestätigung keine weiteren Mitteilungen dieser Art bekommen würde. Der einzige Weg, das Problem zu lösen, wäre das Entfernen des SIM-Karte und das Einsetzen in ein anderes, nicht anfälliges Mobiltelefon. Vorausgesetzt, der Anwender bekommt überhaupt den Empfang einer Kurznachricht mit. In vielen Fällen bleiben diese Angriffe unbemerkt, da die SMS-Anwendung gar keinen Empfang anzeigt.

Die Forscher sehen in den gefundenen Fehlern genug Potenzial, um ganze Netzwerke lahmzulegen. Über SMS-Spamversender wäre es ein Leichtes, tausende Kurznachrichten zu verschicken, die Fehler in Endgeräten produzieren. Auch die Verteilung von Handybotnetzen wäre möglich. Während der Arbeiten gelang es Mulliner und Golde sogar, einen Anbieter auszumachen, der Kurznachrichten nach ihren Wünschen und damit mit schädlicher Wirkung verteilen würde.

Von den Herstellern wird das Bereitstellen von Updates gefordert. Entsprechende Updates müssten zudem an die Kunden kommuniziert werden. Meist bemerken nur Smartphone-Nutzer ein Softwareupdate. Zudem wird das Blockieren von Updates zum Schutz von Net- oder SIM-Lock durch Netzbetreiber von den Forschern als kritisch angesehen.

Dass alle fehlerhaften Handys ein Update bekommen, halten Mulliner und Golde allerdings für unwahrscheinlich. Die Fehler werden über Jahre bestehen. Nicht nur Hersteller der Telefone müssten Updates bereitstellen. Dank gebrandeter Geräte wären auch die Netzbetreiber in der Pflicht. Fehlende Updatemechanismen der billigen Handys erschweren die Lösung des Problems zusätzlich.

Eine weitere Hürde sind die Hersteller selbst. Nach Angaben von Mulliner und Golde war es nicht immer möglich, den Hersteller überhaupt zu erreichen. Eine spezielle E-Mail-Adresse für Sicherheitsfragen von Motorola wird ihnen zufolge gar nicht erst gelesen. Nur mit Nokia und mit Mühen auch bei Sony gelang ein Kontakt. Weitere Handyhersteller konnten nicht erreicht werden. Darunter Samsung, LG und Micromax.


eye home zur Startseite
blubbbb 03. Jan 2011

Das man Eingaben nicht ungeprüft durchpfeift, sollte eigentlich jedem Erstsemester klar...

dgf 28. Dez 2010

Meiner Meinung nach ist man nicht weniger angreifbar. Das einzig positive ist, dass man...

korlpo 28. Dez 2010

Ich weiß auch nicht, woher du die acht Monate hast. In meinem Bekanntenkreis kenne ich...

Webdesignerassi... 28. Dez 2010

Der Spruch ist alt, heute heisst es "Das ist Alternativlos"

Basement Dad 28. Dez 2010

Fand ich nicht so. Ist wohl eine Frage des Point of View. Ich fand den ersten besser...

Kommentieren



Anzeige

  1. Applikationsingenieur/in ESP - Systemerprobung im Fahrversuch
    Robert Bosch GmbH, Abstatt
  2. Webentwickler ASP.NET4 (m/w)
    T-Systems on site services GmbH, Wilhelmshaven
  3. Featureteamleiter im Bereich Video (m/w)
    Robert Bosch GmbH, Leonberg
  4. Mitarbeiter (m/w) Projektmanagement und Implementierung
    ARI Fleet Germany GmbH, Koblenz, Stuttgart, Eschborn bei Frankfurt am Main

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Java-Rechtsstreit

    Oracle verliert gegen Google

  2. Photoshop Content Aware Crop

    Schiefe Fotos geraderücken

  3. HP Omen

    4K-Gaming-Notebooks und ein wassergekühlter Desktop-Rechner

  4. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  5. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  6. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  7. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme

  8. Lebensmittel-Lieferdienst

    Amazon Fresh soll doch in Deutschland starten

  9. Buglas

    Verband kritisiert Rückzug der Telekom bei Fiber To The Home

  10. Apple Store

    Apple darf keine Geschäfte in Indien eröffnen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

  1. Re: Was fehlt: Projektmaintainer kontaktieren...

    zZz | 08:26

  2. Re: Datenbank für Spracherkennung lokal...

    elidor | 08:26

  3. Re: Android ist das Problem

    picaschaf | 08:25

  4. 4K Gaming ????

    MeMMoRy | 08:23

  5. Re: Der Schwenk auf x86...

    david_rieger | 08:22


  1. 08:25

  2. 07:43

  3. 07:15

  4. 19:05

  5. 17:50

  6. 17:01

  7. 14:53

  8. 13:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel