Mobilfunk: Sicherheitslücke macht auch Smartphones angreifbar

Große Teile der Mobilfunkinfrastruktur sind laut Sicherheitsforschern über eine Lücke in einer Software-Bibliothek gefährdet. Ein Fix steht zwar bereit, doch Updates wird es für die meisten Geräte wohl nicht geben.

Artikel veröffentlicht am ,
Sicherheitslücke offenbar in großen Teilen der Mobilfunkinfrastruktur
Sicherheitslücke offenbar in großen Teilen der Mobilfunkinfrastruktur (Bild: Wikipedia/Niwre/CC-BY-SA 3.0)

Eine kürzlich veröffentlichte Sicherheitslücke in einer Software-Bibliothek stellt nicht nur für Mobilfunktürme, sondern auch Router, Switches und individuelle Smartphones im Mobilfunknetzwerk ein Risiko dar, wie die Entdecker mitteilen.

Stellenmarkt
  1. Master Data Manager (m/w/d)
    Bachmann GmbH, Stuttgart
  2. SAP ABAP Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Hannover
Detailsuche

Wie Arstechnica berichtet, versteckt sich der Heap-Overflow-Fehler in einer Bibliothek der Firma Objective Systems, die in großer Zahl in Mobilfunkhardware von Qualcomm sitzt. Forscher überprüften derzeit, ob der betreffende Code auch in Produkten anderer Hersteller wie etwa AT&T, BAE Systems, Broadcom, Cisco Systems, Deutsche Telekom oder Ericsson eingesetzt wird.

Pufferüberlauf ermöglicht Ausführen beliebigen Codes

Durch die Lücke sei es möglich, den Datenstrom des Mobilfunkanbieters so zu modifizieren, dass ein Angreifer damit aus der Ferne beliebigen Code auf dem Zielgerät ausführen könne. Laut Security Advisory ist dabei in den meisten Fällen keine Authentifizierung notwendig.

Das Ausnutzen der Lücke sei nicht trivial, denn sie setze sowohl sehr gute Kenntnis als auch Zugriff auf das verwendete Mobilfunknetz voraus. Dennoch wird sie von Experten als kritisch eingestuft: "Solche Baseband-Schwachstellen sind die derzeit größte Sorge für Verbraucher, weil eine erfolgreiche Ausnutzung ein gesamtes Gerät kompromittieren kann, selbst wenn andere Sicherheitsmaßnahmen und Verschlüsselung aktiviert sind", sagte HD Moore der Firma Special Circumstances Arstechnica.

Patch-Rollout schwierig

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Die betroffene Software sei das "Rückgrat" heutiger Mobilfunksysteme. Selbst wenn es einem Angreifer nicht gelänge, Schadcode auf einem Zielgerät auszuführen, könnten über diese Lücke per Denial-of-Service-Attacken große Teile einer Kommunikationsinfrastruktur lahmgelegt werden, so Moore.

Erschwert wird die Sicherheitslücke aber durch ein weiteres Problem: "Diese Art der Infrastruktur bekommt einfach keine Updates", zitiert Arstechnica Dan Guido, CEO der Firma Trails of Bits. Zwar hat Objective Systems bereits einen Fix veröffentlicht, der die Lücke schließen soll, aber die Chancen, Milliarden Mobilfunkgeräte und Infrastrukturteile zu patchen, stehen schlecht. Damit bleibt die Lücke wohl noch für lange Zeit ein potenzielles Ziel für Angreifer mit entsprechenden Ressourcen und Kenntnissen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /