Bluetooth-Handys ermöglichen WLAN-Surfen auf fremde Kosten
Hacker können sich unbemerkt Zugang zu kostenpflichtigen WLAN-Hotspots der Anbieter T-Mobile und Vodafone auf Kosten von Handy-Besitzern verschaffen.
Der Security-Dienstleister Integralis hat eine gravierende Sicherheitslücke im Zusammenspiel zwischen WLAN-Hotspots und bestimmten Bluetooth-Handy-Modellen aufgedeckt. Demnach können Angreifer Zugang zu kostenpflichtigen Hotspots der Anbieter Vodafone und T-Mobile über Bluetooth-Handys von Dritten erlangen. Die eigentlichen Nutzer der Bluetooth-Handys bemerken von diesem Vorgang nichts -- und dürften sich am Monatsende über unerwartete Posten auf ihrer Handy-Rechnung wundern.
Die Methode nutzt Implementationsmängel von bestimmten Bluetooth-Handy-Modellen sowie einen verbreiteten Komfort-Service der Hotspot-Betreiber aus. Kunden können ihre WLAN-Notebooks nämlich unter anderem einfach per SMS in kostenpflichtige WLAN-Hotspots einbuchen. Bei T-Mobile etwa sendet man eine SMS mit dem Stichwort "OPEN" an eine bestimmte T-Mobile-Nummer. Das T-Mobile-Netz antwortet darauf mit einer SMS-Nachricht, die kundengebundene Login-Daten für den Internetzugang enthält. Diese Zugangsdaten muss man lediglich auf dem Laptop in den Browser bei der Verbindungsaufnahme zum Hotspot übertragen. Die Daten verfallen nicht und gelten zudem an sämtlichen T-Mobile-Hotspots in Europa und den USA. Die Kosten für die WLAN-Nutzung werden automatisch über die Handyrechnung des Benutzers abgerechnet.
Ähnlich sieht das Zugangsverfahren bei Vodafone aus. Der Kunde kann sich auf der Hotspot-Webpage von Vodafone anmelden, indem er dort seine Mobilnummer eingibt. Anschließend erhält er von Vodafone eine SMS mit seinen Zugangsdaten. Der Account kann an weltweit allen Vodafone-Hotspots je nach Wahl 30 Minuten, drei Stunden oder 24 Stunden lang genutzt werden. Auch bei Vodafone erfolgt die Abrechnung über die Handyrechnung.
Dieses eigentlich bequeme und harmlose Anmeldungsverfahren können Angreifer jedoch unbemerkt auslösen, wenn sie mittels spezieller Programme die Kontrolle über Bluetooth-Handys erlangen, die bestimmte Sicherheitslücken aufweisen.
Die Angriffe erfolgen von benachbarten Laptops oder PDAs aus, und bei den anfälligen Handys muss Bluetooth aktiviert sein. Je nach Sendeleistung und Güte der beteiligten Funkeinheiten sind bei Bluetooth-Handys Angriffe im Umkreis von 10 bis 20 Metern möglich, bei sehr guten Funkern im Prinzip auch darüber hinaus. Sobald Angreifer ein anfälliges Handy identifiziert haben, können sie erkunden, zu welchem Mobilfunkanbieter die verwendete SIM-Karte des Opfer-Handys gehört (etwa indem sie eine SMS an ein eigenes Handy, mit "anonymer" Pre-Paid-Karte senden lassen und dort die Absendervorwahl auswerten). Eine anschließend von Außen veranlasste Hotspot-Anmeldung über das Opfer-Handy ist für den Netzbetreiber nicht von einer normalen und vom eigentlichen Nutzer gewollten Anmeldung zu unterscheiden. Die daraufhin im Opfer-Handy eingehenden Daten lassen sich von außen auslesen und anschließend löschen, sodass im anfälligen Handy keine Spur von den Aktionen übrig bleibt.
In Beispiel-Szenarien hat Integralis ermittelt, dass ein Angreifer-Duo Zugangsdaten von Vodafone innerhalb von 2 Minuten erlangen kann. Bei T-Mobile genügen sogar nur 30 bis 45 Sekunden. Das Opfer entdeckt den Schaden im Prinzip erst auf seiner Handy-Rechnung. Der ausgenommene Handybesitzer kann praktisch nicht nachweisen, dass ein Fremder auf seine Kosten das Internet genutzt hat, da keine Spuren auf eine Manipulation deuten.
Die Möglichkeiten, die sich den Angreifern eröffnen, sind vielfältig, denn sie können praktisch beliebig viele anonyme Accounts horten; diejenigen von T-Mobile sind sogar zeitlich unbefristet. Die Kosten für die Internetnutzung trägt allein der ahnungslose Handybesitzer. Michael Müller und Andreas Bröhl, Bluetooth- und WLAN-Experten von Integralis, empfehlen den Mobilfunkanbietern, das Authentisierungsverfahren für Hotspots via SMS abzustellen. Zudem raten die Sicherheitsspezialisten den Handy-Nutzern, Bluetooth in Handys und PDAs nur in sicheren Umgebungen zu aktivieren und keinesfalls an öffentlichen Plätzen wie Bahnhöfen, Flughäfen oder Messen. Zudem sollte die Sichtbarkeit immer ausgeschaltet sein. Das schützt zwar nicht vor Angriffen, erschwert sie aber deutlich. Zuallererst stehen aber die Handy-Hersteller in der Pflicht, fehlerbereinigte Firmware ihrer Handys anzubieten.
Eine Liste der anfälligen Bluetooth-Handy-Modelle sowie weitere Informationen zum Thema hat Integralis im Internet bereitgestellt. (dz)
