ITU warnt vor Gefahr durch SIM-Karten-Hack
Die UN-Unterorganisation für Telekommunikation will Mobilfunkprovider weltweit auf die Gefahr durch schwache Verschlüsselungstechnik von SIM-Karten aufmerksam machen. Angreifer können dadurch Handys mit manipulierten SMS-Nachrichten übernehmen.
- Christian Kirsch
Medienberichten zufolge plant die International Telecommunications Union (ITU), eine Unterorganisation der UNO, Mobilfunkbetreiber in fast 200 Ländern vor einer Schwachstelle in SIM-Karten zu warnen. Die Entdeckung sei "sehr bedeutsam", wird der ITU-Chef Hamadoun Touré zitiert. Bis zu einer halben Milliarde Handys könnten betroffen sein, warnt die Berliner Firma Security Research Labs (SRL), die die Schwachstelle entdeckt hat. So viele Geräte verwenden noch SIM-Karten mit der bereits seit langem als unsicher bekannten DES-Verschlüsselung. Durch eine manipulierte SMS lässt sich der interne Schlüssel ermitteln, berichtet der deutsche Sicherheitsfachmann Karsten Nohl.
Anschließend kann der Angreifer durch scheinbar vom Mobilfunkprovider stammende Konfigurations-SMS das Handy übernehmen und beispielsweise teure Premium-SMS versenden oder eine ständige Positionsübermittlung aktivieren. Auch Java-Apps lassen sich auf diesem Weg installieren, was laut Nohl noch mehr Gefährdungspotenzial habe. Denn bei zwei Kartentypen sei die Java-VM so fehlerhaft, dass sogar elementare Prüfungen wie das Einhalten von Array-Grenzen fehlten. Dadurch könne ein Java-Trojaner aus der Sandbox ausbrechen und sogar den Master-Schlüssel der SIM-Karte auslesen.
Die Details des SIM-Karten-Debakels beschreibt der Artikel DES-Hack exponiert Millionen SIM-Karten bei heise Security. (ck)
