Scan in Mobilfunknetzen fördert tausende ungeschützte Geräte zu Tage

Mit einem simplen Portscanner hat der deutsche Sicherheitsforscher Collin Mulliner die Netze von europäischen Mobilfunkanbietern untersucht. Ergebnis: Haufenweise Geräte wie Smart Meter, Straßenverkehrskontrollsysteme, KfZ-Ortungshardware oder GSM-/GPRS-Ethernet-Router. Schutz durch Passwörter? Fehlanzeige.

Mulliner fragte aus der RIPE-Datenbank die IP-Bereiche ab, die von den Netzbetreibern für ihre Mobilfunknetze ausgewiesen werden. Insgesamt kam er auf über 9,3 Millionen einzelne IP-Adressen. Teile davon stellten sich später als falsch gekennzeichnet heraus und verwiesen auf die DSL-Netze, so dass die insgesamt gescannte Zahl kleiner ist. Bei seiner Untersuchung konzentrierte sich der Forscher ausschließlich auf Nicht-Mobiltelefone. Diese verwenden zumeist APNs (Access Point Name), die die Geräte per NAT vor dem Internet verbergen. Außerdem sind bei gängigen Smartphones ab Werk keine Dienste aktiviert, die sich per Scan ansprechen lassen.

Der von Mulliner in Python programmierte Scanner fragte unter anderem die TCP-Banner der Dienste auf den Ports 21 (FTP), 22 (SSH), 80 (http) ab und hinterlegte die Ergebnisse in einer Datenbank. Resultat: Über 200 von DigiCore hergestellte Geräte zum Orten von Miet- und Lieferwägen. Einige dieser Geräte gaben ohne Logindaten sogar ihre derzeitige Position per Telnet bekannt. Zirka 20 Vermessungsgeräte von Leico Geosystems, 150 tragbare Barcode-Scanner sowie über 500 GSM-/GPRS-Router. Letztere bauen eine Brücke zwischen den Mobilfunk- und Ethernetnetzen, meist in Industrieanlagen, SCADA-Systemen oder zwischen Geldautomaten und Bankenrechenzentren. Laut Mulliner wäre es durchaus möglich, auf diesem Weg tiefer in das verdrahtete Netz einzudringen.

Interessant waren laut Mulliner auch die ohne Login zugänglichen Controller zur Hausautomation oder die Anlagen zur Verkehrsflusskontrolle von Traffic Data Systems. Ebenfalls ins Netz gingen ihm etliche IP-Kameras und einige intelligente Stromzähler (Smart Meter). Letztere waren ebenfalls gänzlich ungeschützt und boten sofort eine Root Shell. Es dürfte sich Mulliner zufolge bei diesen Geräten jedoch um Testinstallationen der Zähler handeln.

Eine Ausnahme machte der Forscher bei der Suche in Sachen Smartphones dann doch: Er ließ den Scanner prüfen, ob er iOS-Geräte aufspürte, auf denen nach einem Jailbreak SSH aktiviert wurde. Rund 2000 solcher Modelle fanden sich in den Logfiles. Falls die Anwender das Standard-Passwort alpine für die Zugänge mobil und root nicht explizit geändert haben, lassen sich prinzipiell aus der Ferne Daten klauen sowie SMS- und Anrufbetrügereien starten. Dieses Problem nutzte der Ikee-Wurm vor einigen Jahren, um tausende iPhones mit Jailbreak zu infizieren. (ju)