Abo
  • Services:

SIM-Karten-Hacking: "Sie sind so unsicher wie Windows 95"

Millionen SIM-Karten weltweit sind auf Grund schwacher Verschlüsselung und fehlerhafter Software unsicher. Das hat der Sicherheitsexperte Karsten Nohl herausgefunden.

Artikel veröffentlicht am ,
Karsten Nohl hat eine gravierende Schwachstelle in Millionen SIM-Karten endeckt.
Karsten Nohl hat eine gravierende Schwachstelle in Millionen SIM-Karten endeckt. (Bild: Alexander Klink/Wikipedia)

Über einen bislang unbekannten Angriff können Millionen von SIM-Karten weltweit gekapert werden. Über die Sicherheitslücke können die SIM-Karten mit fremden Apps bestückt werden, die von Nutzern unbemerkt Premium-SMS verschicken oder Bezahlsysteme manipulieren. Damit seien viele SIM-Karten so unsicher wie Windows 95, sagte Sicherheitsexperte Karsten Nohl. In Deutschland haben die Netzbetreiber bereits reagiert.

Inhalt:
  1. SIM-Karten-Hacking: "Sie sind so unsicher wie Windows 95"
  2. Geld abzocken, Gespräche mithören

Der Entdecker der Sicherheitslücke, Karsten Nohl, beschreibt die Kooperation mit den Netzbetreibern in Deutschland als erstaunlich produktiv. Es sei ein Katz-und-Maus-Spiel im positiven Sinne, sagte Nohl zu Golem.de. Er und seine Mitarbeiter bei Security Research Labs starteten seit sechs Monaten immer neue Angriffsvektoren und die Netzbetreiber reagierten meist schnell.

Kooperative Netzbetreiber

Bislang habe er den Hack nicht veröffentlicht, wie es White-Hat-Hacker eben nicht tun, ohne die Betroffenen zu informieren. Nohl zitiert das Stichwort "Responsible disclosure". Es gehe darum, den Kriminellen zuvorzukommen. In etwa sechs Monaten werde der Hack sicherlich ausgenutzt. Gegenwärtig seien ihm keine solche Angriffe bekannt.

Einige Netzbetreiber haben sogar die Weiterentwicklung bei LTE zurückgestellt, da sie erkannt haben, wie gravierend der Hack ist. Die SIM-Karte wird dabei komplett offengelegt - gerootet. Nohl schätzt die Anzahl der betroffenen SIM-Karten weltweit auf etwa eine halbe Milliarde. Betroffen sind vor allem ältere SIM-Karten, in neuen Micro- und Nano-SIMs werde eine stärkere Verschlüsselung verwendet.

Veraltetes DES in SIM-Karten

Stellenmarkt
  1. abilex GmbH, Stuttgart
  2. Landeshauptstadt München, München

In älteren SIM-Karten werde noch DES-Verschlüsselung verwendet. Nohl schätzt die Verbreitung von SIM-Karten mit DES auf etwa 50 Prozent weltweit. Neuere verwenden zwar bereits 3DES, aber auch diese Verschlüsselung sei nicht sicher. Gegenwärtig rüsten die SIM-Karten-Hersteller auf das sichere AES um.

Etwa ein Viertel der SIM-Karten kann dazu gebracht werden, Signaturen nach außen zu übertragen. Dazu spannte Nohl ein eigenes Netz auf und schickt eine SMS mit einer eigenen ungültigen Signatur. Die betroffenen SIM-Karten schickten daraufhin eine Fehlermeldung zurück - mit einer gültigen DES-verschlüsselten Signatur. Aus der konnte Nohl innerhalb weniger Minuten mit Hilfe von Rainbowtables einen Schlüssel aus der Signatur rekonstruieren. Auch das modernere 3DES lässt sich so umgehen. Denn einige Karten senden bei der Fehlermeldung nur den ersten von drei DES-Schlüsseln. Ist der erstmal geknackt, lassen sich die beiden anderen ebenfalls schnell auslesen.

Geld abzocken, Gespräche mithören 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Resident Evil 7 biohazard für 14,99€, Dungeons 3 für 13,99€, Tom Clancy's Ghost Recon...
  2. (u. a. PSN Card 50 Euro für 43,99€)
  3. 27,99€ + 5,99€ Versand (Vergleichspreis 44,95€)

wynillo 25. Okt 2013

Kennst du auch diese Menschen, die Ironie nicht erkennen, obwohl diese gerade einen...

tha_specializt 25. Okt 2013

na is doch klar - dieselben "Kodierer" von damals arbeiten auch heute noch, wenn auch im...

katzenpisse 23. Jul 2013

Es soll tatsächlich Verträge geben ohne Mindestlaufzeit und Grundgebühr :-P SCNR

silberfieber 22. Jul 2013

frage: siehe überschrift... :)

Quantium40 22. Jul 2013

CB-Funk / Amateurfunk bucht sich in kein Netz ein. Damit ist man nur zu orten, während...


Folgen Sie uns
       


Adobe Premiere mit Quicksync ausprobiert

Quicksync ist eine überfällige Neuerung für Adobe Premiere. Wir haben die Hardwarebeschleunigung ausprobiert.

Adobe Premiere mit Quicksync ausprobiert Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    •  /