Schwachstelle Handykarte – Millionen SIM-Karten unzureichend geschützt

SIM-Karten mit unsicherer Verschlüsselung DES

Die SIM-Karte sorgt nicht einfach für die Verbindung des Mobiltelefons mit dem Mobilfunknetz. Sie dient der Identifizierung und der sicheren Übertragung im Mobilfunknetz und ist ein Speicher, etwa für Kontakte, für Anmelde- und Zahlungsinformationen, für Passwörter. Derzeit sind rund sieben Milliarden Handykarten im Einsatz. Ein großer Teil von ihnen weist Sicherheitslücken auf und ist dadurch unzureichend vor Hackerangriffen geschützt, stellte das deutsche Sicherheitsunternehmen Security Research Labs fest. Die Internationale Fernmeldeunion (International Telecommunications Union, ITU) warnt davor und teilte mit, die Regulierungsbehörden in rund 200 Ländern und Hunderte Mobilfunkanbieter würden alarmiert werden.

Viele, wenn nicht die meisten SIM-Karten seien mit dem veralteten Verschlüsselungsstandard DES gesichert, teilte Security Research Labs mit. Die Technologie stammt aus den 1970er Jahren und nutzt lediglich Schlüssel von nur 56 Bit Länge, die deshalb ohne viel Aufwand und in kurzer Zeit geknackt werden können. Angreifer können dann lediglich durch den Versand einer Steuerungs-SMS an die Mobilfunknummer die Kontrolle über das Gerät übernehmen.

Den Eingang dieser SMS bemerkt der Nutzer nicht. Das Mobilfunkgerät führt aber den darin enthaltenen Befehl aus. Unter Ausnutzung der unsicheren Verschlüsselung kann mithilfe von Java-Applets auch auf nicht dafür vorgesehene Bereiche der SIM-Karten-Software zugegriffen werden, was wiederum die Steuerung des Mobilfunkgeräts und das Auslesen von Daten ermöglicht. Die Ausnutzung der Sicherheitslücke hat also ähnliche Auswirkungen wie ein Virusbefall. Mindestens ein Achtel der ausgegebenen SIM-Karten sind nach Informationen von Zeit online betroffen.

Abhilfe können nur die SIM-Karten-Hersteller und Netzbetreiber schaffen. Sie können sicherere Verschlüsselungsmethoden anwenden und nicht autorisierte Steuerungs-SMS ausfiltern. Der Mobilfunkkunde kann lediglich seine alte SIM-Karte gegen eine neue tauschen lassen. Doch auch das ist kein Garant dafür, dass die SIM-Karte ausreichend geschützt ist.

Update vom 23.07.2013

Den Informationen von heise zufolge, prüft o2 derzeit, ob Kunden betroffen sind. Bei SIM-Karten, die älter als 11 Jahre sind, sei das nicht auszuschließen. Vodafone sagte, die SIM-Karten ihrer Kunden würden automatisch aktualisiert. Außerdem filtere man Wartungs-SMS im eigenen Netz. E-Plus erklärte, die „überwiegenden Zahl der Kunden” sei nicht betroffen. Zudem seien sie vor derartigen SMS geschützt. Die Telekom sagte, ihre Kunden seien nicht betroffen. Auch bei älteren SIM-Karten würde die Verschlüsselungstechniken 3DES genutzt, die einen längeren Sicherheitsschlüssel verwendet. Der besteht aus einem 56 Bit langen Sicherheitsschlüssel, der sich dreimal wiederholt.
Nohl hatte die betroffenen Hersteller und Mobilfunknetzbetreiber bereits vor einigen Monaten informiert.

Weitere Informationen

Hilfe bei Verlust des Mobiltelefons

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Gefährlicher Trojaner „DroidBot“ – Android-User müssen vorsichtig sein

Gefährlicher Trojaner „DroidBot“

Android-User müssen vorsichtig sein

Aktuell warnen Sicherheitsforscher vor einem Trojaner mit dem Namen „DroidBot“, der auf Android-Geräten großen Schaden anrichten kann. Im schlimmsten Fall kann am Ende das gesamte Bankkonto der Android-User leer geräumt sein. Nutzer sollten daher besonders vorsichtig sein. […]

Ü-85-Regelung – Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Ü-85-Regelung

Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Bei Haustürgeschäften sollten Verbraucher grundsätzlich vorsichtig sein. Es besteht die Gefahr, zu übereilten Vertragsabschlüssen gedrängt oder sogar auf Kriminelle hereinzufallen. Einem Senior wurde von einem Telekom-Vertreter ein Haustürgeschäft allerdings aufgrund seines Alters verweigert. […]

Nicht mehr erreichbar – die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Nicht mehr erreichbar

Die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Die legendäre 11833-Auskunft der Deutschen Telekom gibt es nicht mehr. Gestern hat das Unternehmen den Dienst nach beinahe 30 Jahren endgültig abgeschaltet. Verbrauchern stehen bei Bedarf aber weiterhin entsprechende Telefonauskunftsdienste von anderen Anbietern zur Verfügung. […]

„Restore Credentials“ – Google macht Smartphone-Wechsel komfortabler

„Restore Credentials“

Google macht Smartphone-Wechsel komfortabler

Google vereinfacht den Wechsel von einem Android-Smartphone zu einem anderen noch weiter. Nutzer können künftig von der sogenannten „Restore Credentials“-Funktion profitieren. Dank dieser werden beispielsweise auch Passwörter für Anwendungen automatisch auf das neue Handy übertragen. […]