Simjacker: SIM-Karten in 29 Ländern anfällig für SMS-Angriff

Mit einer präparierten SMS können Daten aus dem Mobiltelefon ausgelesen werden. Die Sicherheitsfirma Adaptive Mobile hat den Simjacker genannten Angriff entdeckt und die betroffenen Staaten veröffentlicht. Demnach nutzte in drei Ländern eine Überwachungsfirma die Lücke aktiv aus.

Artikel veröffentlicht am ,
Länder mit verwundbaren SIM-Karten
Länder mit verwundbaren SIM-Karten (Bild: Adaptive Mobile)

Mit einer präparierten SMS können SIM-Karten angegriffen und so Informationen aus dem Mobiltelefon ausgelesen, Anrufe eingeleitet oder SMS versendet werden. Der Simjacker genannte Angriff wurde von der Sicherheitsfirma Adaptive Mobile entdeckt. Simjacker soll in 29 Ländern funktionieren, welche die Sicherheitsfirma nun namentlich veröffentlichte. Ursprünglich hatte Adaptive Mobile von 30 betroffenen Ländern mit insgesamt über einer Milliarde Einwohnern gesprochen. Für den Angriff muss die Software S@T Browser auf der SIM-Karte vorhanden sein. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Junior Data Scientist (m/w/d)
    MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
  2. Salesforce Sales Cloud Consultant / Developer (m/w/d)
    Haufe Group, Freiburg
Detailsuche

In Europa sind den Angaben zufolge SIM-Karten in Italien, Bulgarien und Zypern von der Sicherheitslücke betroffen. Auf Anfrage von Golem.de erklärten mehrere Anbieter aus Deutschland, Österreich und der Schweiz die Software S@T Browser nicht einzusetzen. Betroffen sind vor allem Länder in Mittelamerika (Mexiko, Guatemala, Belize, Dominikanische Republik, El Salvador, Honduras, Panama, Nicaragua, Costa Rica) und Südamerika (Brasilien, Peru, Kolumbien, Ecuador, Chile, Argentinien, Uruguay, Paraguay). Auch in Afrika (Elfenbeinküste, Ghana, Benin, Nigeria, Kamerun) und in Ländern wie Saudi-Arabien, Irak, Libanon sowie den Palästinensergebieten kommt der S@T Browser zum Einsatz.

Der Angriff funktioniert zum Teil ohne Nutzerinteraktion. Beispielsweise lässt sich der Standort eines Mobiltelefons abfragen, ohne dass der Besitzer davon etwas bemerkt. Eine Überwachungsfirma, die im Auftrag von Staaten arbeite, habe Simjacker bereits aktiv eingesetzt, erklärte Adaptiv Mobile. Damit seien Personen in Mexiko, Kolumbien und Peru getrackt worden, weitere Angriffsmöglichkeiten habe die Überwachungsfirma nicht genutzt. "Wir haben das Unternehmen, das nach unseren Erkenntnissen verantwortlich ist, nicht genannt, da wir hierfür zusätzliche Beweise veröffentlichen müssten", schreibt Adaptive Mobile. Die Informationen und Methoden seien jedoch so spezifisch, dass sie dem Unternehmen die Fähigkeit nehmen würden, ihre Klienten zu schützen. Otto Normalverbraucher sollten sich jedoch keine Sorgen machen, die Angriffe zielten ausschließlich auf Personen, an denen staatliche Akteure Interesse hätten, erklärt die Sicherheitsfirma.

Weitere SIM-Software angreifbar

Neben dem S@T Browser kann auch die Software Wireless Internet Browser (WIB) auf der SIM-Karte attackiert werden. Die Sicherheitsfirma Ginno Security Lab will beide Angriffe bereits 2015 entdeckt haben, veröffentlichte sie aber erst jetzt. Bei beiden Programmen handelt es sich um Java-Applikationen, welche von den Telekommunikationsunternehmen auf die SIM-Karte geladen werden. Die Programme ermöglichen die Verwaltung der SIM-Karte aus der Ferne, auch Premium-SMS-Dienste sind damit möglich. Ginno Security Lab nennt die Angriffe Wibattack und S@Tattack (Simjacker).

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Mit der Desktopsoftware Simtester von der Sicherheitsfirma Security Research Labs lassen sich SIM-Karten auf den S@T Browser sowie den Wireless Internet Browser testen. Doch auch wenn die beiden Browser vorhanden seien, bedeute das noch nicht automatisch, dass die Geräte auch angreifbar seien, schreibt die Sicherheitsfirma. Telekommunikationsanbieter könnten die präparierten SMS einfach blockieren beziehungsweise ausfiltern. Die Sicherheitsforscher empfehlen den Telekommunikationsfirmen, solche Filter einzurichten und zudem die Software von den SIM-Karten zu löschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Fall Anne-Elisabeth Hagen
Lösegeldforderung per Bitcoin-Transaktion

Der Fall der verschwundenen norwegischen Millionärsgattin Anne-Elisabeth Hagen ist auch ein Krimi um Kryptowährungen und Anonymisierungsdienste.
Von Elke Wittich und Boris Mayer

Der Fall Anne-Elisabeth Hagen: Lösegeldforderung per Bitcoin-Transaktion
Artikel
  1. Gaming: Razers skurrile Maske erhält einen Erscheinungszeitraum
    Gaming
    Razers skurrile Maske erhält einen Erscheinungszeitraum

    Die erste Charge von Razers Project Hazel kommt erst in einigen Monaten. Derweil will Razer Verbesserungen an der Maske vornehmen.

  2. Microsoft: Windows-10-Nutzer von neuer Wetter-App genervt
    Microsoft
    Windows-10-Nutzer von neuer Wetter-App genervt

    Ungenaue Vorhersagen und matschige Schrift: Die Wetter-App in Windows 10 stört einige. Gleiches gilt beim News-Feed. Beides ist versteckbar.

  3. Smartwatch: Apple Watch Series 8 soll Fieberthermometer erhalten
    Smartwatch
    Apple Watch Series 8 soll Fieberthermometer erhalten

    Fiebermessen mit der Apple Watch soll ab 2022 möglich werden. Auch eine Extremsport-Version soll kommen.

ww 14. Okt 2019

Damals wurden diese "mobilen Homezones" mit dem Häuschen im Display auch mit Software...

chefin 14. Okt 2019

Ist so nicht passiert. Bist du in einer Funkzelle die polizeilich kontrolliert ist, muss...

maxule 13. Okt 2019

ans Licht gekommen, weil sie der 'Falsche' benutzt? Ob sie im Baseband-Subsystem noch...

Micha_T 12. Okt 2019

Ich sag nur als die samsung sms app in version xy eine macke hatte und per sms bilder aus...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Xbox Series X aktuell bestellbar 499,99€ • Amazon-Geräte günstiger • Far Cry 6 + Steelbook PS5 69,99€ • Elden Ring vorbestellbar ab 59,99€ • Crucial MX500 500GB 48,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • Sony Pulse 3D-Headset PS5 99,99€ [Werbung]
    •  /