• IT-Karriere:
  • Services:

Mobilfunk: Sicherheitslücke macht auch Smartphones angreifbar

Große Teile der Mobilfunkinfrastruktur sind laut Sicherheitsforschern über eine Lücke in einer Software-Bibliothek gefährdet. Ein Fix steht zwar bereit, doch Updates wird es für die meisten Geräte wohl nicht geben.

Artikel veröffentlicht am ,
Sicherheitslücke offenbar in großen Teilen der Mobilfunkinfrastruktur
Sicherheitslücke offenbar in großen Teilen der Mobilfunkinfrastruktur (Bild: Wikipedia/Niwre/CC-BY-SA 3.0)

Eine kürzlich veröffentlichte Sicherheitslücke in einer Software-Bibliothek stellt nicht nur für Mobilfunktürme, sondern auch Router, Switches und individuelle Smartphones im Mobilfunknetzwerk ein Risiko dar, wie die Entdecker mitteilen.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. PTV Group, Karlsruhe

Wie Arstechnica berichtet, versteckt sich der Heap-Overflow-Fehler in einer Bibliothek der Firma Objective Systems, die in großer Zahl in Mobilfunkhardware von Qualcomm sitzt. Forscher überprüften derzeit, ob der betreffende Code auch in Produkten anderer Hersteller wie etwa AT&T, BAE Systems, Broadcom, Cisco Systems, Deutsche Telekom oder Ericsson eingesetzt wird.

Pufferüberlauf ermöglicht Ausführen beliebigen Codes

Durch die Lücke sei es möglich, den Datenstrom des Mobilfunkanbieters so zu modifizieren, dass ein Angreifer damit aus der Ferne beliebigen Code auf dem Zielgerät ausführen könne. Laut Security Advisory ist dabei in den meisten Fällen keine Authentifizierung notwendig.

Das Ausnutzen der Lücke sei nicht trivial, denn sie setze sowohl sehr gute Kenntnis als auch Zugriff auf das verwendete Mobilfunknetz voraus. Dennoch wird sie von Experten als kritisch eingestuft: "Solche Baseband-Schwachstellen sind die derzeit größte Sorge für Verbraucher, weil eine erfolgreiche Ausnutzung ein gesamtes Gerät kompromittieren kann, selbst wenn andere Sicherheitsmaßnahmen und Verschlüsselung aktiviert sind", sagte HD Moore der Firma Special Circumstances Arstechnica.

Patch-Rollout schwierig

Die betroffene Software sei das "Rückgrat" heutiger Mobilfunksysteme. Selbst wenn es einem Angreifer nicht gelänge, Schadcode auf einem Zielgerät auszuführen, könnten über diese Lücke per Denial-of-Service-Attacken große Teile einer Kommunikationsinfrastruktur lahmgelegt werden, so Moore.

Erschwert wird die Sicherheitslücke aber durch ein weiteres Problem: "Diese Art der Infrastruktur bekommt einfach keine Updates", zitiert Arstechnica Dan Guido, CEO der Firma Trails of Bits. Zwar hat Objective Systems bereits einen Fix veröffentlicht, der die Lücke schließen soll, aber die Chancen, Milliarden Mobilfunkgeräte und Infrastrukturteile zu patchen, stehen schlecht. Damit bleibt die Lücke wohl noch für lange Zeit ein potenzielles Ziel für Angreifer mit entsprechenden Ressourcen und Kenntnissen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 67,89€ (Release: 19.11.)
  2. (u. a. Death Stranding für 39,99€, Bloodstained: Ritual of the Night für 17,99€, Journey to...
  3. 59,99€
  4. 19,49€

tg-- 27. Jul 2016

Da von Baseband die Rede ist geht es mit ziemlicher Sicherheit um das Echtzeit...

Moe479 26. Jul 2016

der eigentliche skandal ist, dass dir hersteller mit nichten daran interessiert sind...


Folgen Sie uns
       


Super Mario Bros.: Mehr Klassiker geht nicht
Super Mario Bros.
Mehr Klassiker geht nicht

Super Mario Bros. wird 35 Jahre alt! Golem.de hat den Klassiker im Original erneut gespielt - und nicht nur Lob für ihn.
Von Benedikt Plass-Fleßenkämper

  1. Super Mario 3D All-Stars Nintendo kündigt überarbeitete Klempner-Klassiker an
  2. Nintendo Update erlaubt Weltenbau in Super Mario Maker 2
  3. Nintendo Auch Lego Super Mario sammelt Münzen

Immortals Fenyx Rising angespielt: Göttliches Gaga-Gegenstück zu Assassin's Creed
Immortals Fenyx Rising angespielt
Göttliches Gaga-Gegenstück zu Assassin's Creed

Abenteuer im antiken Griechenland mal anders! Golem.de hat das für Dezember 2020 geplante Immortals ausprobiert und zeigt Gameplay im Video.
Von Peter Steinlechner


    Stellenanzeige: Golem.de sucht CvD (m/w/d)
    Stellenanzeige
    Golem.de sucht CvD (m/w/d)

    Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

    1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
    2. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
    3. In eigener Sache Die 24-kernige Golem Workstation ist da

      •  /