SIM-Hack ermöglicht Überwachung des Standortes

28. Dezember 2013 Kategorie: Backup & Security, Mobile, geschrieben von: Sascha Ostermaier

Im Juli berichteten wir über einen Hack von SIM-Karten, der das Klonen selbiger erlaubt. Möglich ist dies durch eine alte Verschlüsselungsmethode gewesen. Die Netzbetreiber besserten nach und verwenden nun statt DES den Standard 3DES. Laut Sicherheitsexperte Nohl sei dies zwar schon eine Verbesserung, aber kein ausreichender Schutz. Der 3DES Standard wird oft nur bei den Default Applications einer SIM-Karte eingesetzt, es gibt aber weitere Applications, die Steuerbefehle ohne Verschlüsselung annehmen können.

microsim

Dadurch ist es Angreifern möglich, unsichtbare SMS an Mobiltelefone zu senden, um zu testen, ob es Applications gibt, die sich nutzen lassen. Unsichtbar sind die SMS, weil es sich um Steuerbefehle handelt. Falls ein Angriffsvektor gefunden wird, kann eine in Java geschriebene Malware auf der SIM platziert werden, die dann beispielsweise unbemerkt SMS mit dem Standort verschickt oder ähnliches.

Um zu demonstrieren, dass nicht nur alte SIM-Karten betroffen sind, demonstrierte Nohl auf dem 30C3 (30. Chaos Communication Congress) das Vorgehen auf einem iPhone 5S mit Nano-SIM. Das Betriebssystem des Mobiltelefons spielt bei dem Angriff keine Rolle, da in diesem Fall die SIM-Karte das Ziel eines Angreifers ist.

Falls Ihr einen PS/SC Smartcard Reader besitzt, könnt Ihr Eure SIM-Karte mit dem SIM-Tester auf Schwachstellen überprüfen. Das Tool wurde von Karsten Nohl und seinem Kollegen Luca Melette vorgestellt. Die beiden übten auch neue Kritik an den Mobilfunkbetreibern.

Einige Provider hätten ihren Verschlüsselungsstandard für Gespräche verbessert. Sie nutzen nun AS/3 statt AS/1, allerdings ist auch der „neue“ Standard bereits 10 Jahre alt und überholt. Mit AS/4 gibt es bereits seit 5 Jahren eine sicherere Methode, da die Schlüssellänge von 64-Bit auf 128-Bit anwuchs und das Knacken dadurch um ein vielfaches erschwert wird.



Quelle: Der Standard |
Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7068 Artikel geschrieben.

ein Kommentar

Berndt 29. Dezember 2013 um 11:46 Uhr

Zwei Fragen:
– Heißt es nicht eigentlich PC/SC Smartcard Reader?
– Kann mir jemand einen guten PC/SC Smardcard Reader empfehlen? Die bei Amazon haben leider alle eine niedrige Bewertung

Danke




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.