MMS-Sicherheitsloch in Microsofts Smartphone-Plattform

Angreifer können Code über manipulierte MMS einschleusen und ausführen. Der Sicherheitsexperte Collin Mulliner hat ein Problem in der MMS-Applikation von Microsofts Smartphone-Plattform entdeckt. Auf der Hacker-Konferenz Defcon 14 zeigte er, wie sich mit einer manipulierten MMS beliebiger Schadcode einschleusen und ausführen lässt. Das Opfer muss die betreffende MMS-Nachricht lediglich öffnen; Sicherheitsabfragen gibt es nicht.

7. August 2006 um 11:56 Uhr / Ingo Pakalski

10 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Bisherige Angriffe auf Smartphones erforderten, dass das Opfer die Schadsoftware manuell einspielt bzw. deren Installation zum Teil mehrfach bestätigt. Das neu entdeckte Angriffs-Szenario(öffnet im neuen Fenster) kann ohne aktive Teilnahme des Opfers ausgeführt werden. Denn bereits das Öffnen einer präparierten MMS genügt, damit schadhafter Code auf das Gerät geladen und auch ausgeführt wird. Im schlimmsten Fall würde ein Opfer eine solche Attacke gar nicht bemerken.

Nach Angaben des Entdeckers wurden sowohl Microsoft als auch der Entwickler der MMS-Applikation über den Fehler informiert. In den kommenden Wochen soll ein Update erscheinen, um das Problem zu korrigieren. Bis dahin muss das Update von den OEM-Herstellern auf Verträglichkeit geprüft werden.

Zur Startseite 10 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

WindowsCE-Smartphones speichern PIN im Klartext

Sicherheitsloch betrifft Geräte xda von O2 und mda von T-Mobile. Wie die Website teltarif.de berichtet, weisen alle Geräte mit der WindowsCE-Version Pocket PC 2002 Phone Edition ein empfindliches Sicherheitsleck auf. Demnach legt das Betriebssystem die PIN der SIM-Karte unverschlüsselt im Klartext in der Registry-Datenbank ab. Bei einem Diebstahl oder anderweitigem Verlust des Geräts können Unbefugte sich so ohne Aufwand im Handy-Netz des Betroffenen anmelden und auf deren Kosten telefonieren.

Palms Treo-Smartphone mit UMTS kommt nach Deutschland

Treo-Smartphone mit Windows Mobile 5.0 in Vorbereitung. Palm gab bekannt, dass der PDA- und Smartphone-Hersteller gemeinsam mit Microsoft und Vodafone die Markteinführung eines Treo-Smartphones mit UMTS-Technik für Deutschland plant. Das daraus resultierende Smartphone wird dann mit Windows Mobile 5.0 ausgerüstet sein und soll noch 2006 auf den Markt kommen.

Referenzdesign von Nvidia für Windows Mobile 5.0

MobileMedia Platform entstand in Kooperation mit Freescale. Mit der MobileMedia Platform hat Nvidia ein Referenzdesign für Windows Mobile 5.0 vorgestellt, das Geräteherstellern die Entwicklung neuer Produkte vereinfachen soll. Nvidia will damit die Markteinführung von Multimediageräten vorantreiben, die dann 3D-Grafikfunktionen für Spiele bieten und gleichfalls für mobiles TV sowie als mobiler Musikunterhalter eingesetzt werden können.

Relevante Themen