Per SMS Handy-Websessions entführen

Drei italienische IT-Sicherheitsexperten haben auf der bis heute Abend andauernden Sicherheitskonferenz Black Hat vorgeführt, wie sich sämtlicher Webverkehr eines Mobiltelefons zu einem vom Angreifer kontrollierten Proxyserver umleiten lässt. Cristofaro Mune, Roberto Gassira und Roberto Piccirillo haben in ihrem Vortrag "Hijacking Mobile Data Connections" erläutert, dass für einen erfolgreichen Angriff lediglich eine vergleichsweise simple SMS genügt.

Die drei Sicherheitsexperten nutzen für ihren Angriff einen hinlänglich dokumentierten Weg und nicht etwa eine neue Schwachstelle: Die vom Angreifer verschickte SMS enthält lediglich die Daten, die das Mobiltelefon benötigt, um die für den Internetzugang notwendigen Einstellungen wie APN (Access Point Name), Proxy-Server oder DNS-Server zu erfahren. Netzbetreiber versenden solche Provisioning-SMS oft auf Anfrage des Handybesitzers, wenn dieser erstmals mit einem nicht vorkonfigurierten Mobiltelefon ins Internet möchte oder aber den Provider gewechselt hat.

Mune, Gassire und Piccirillo können mit einem selbst entwickelten Tool eine solche SMS im WBXML-Format (WAP Binary XML) erzeugen. Der Kurznachricht konnten die Forscher auf diese Weise beliebige Werte mit auf den Weg geben. Die Werte werden vom Handy übernommen und in die Interneteinstellungen übertragen. Der Anwender muss die Einstellungen mit einem PIN-Code bestätigen, der ihm vorher mit einer anderen SMS geschickt wurde.

Da die PIN vom SMS-Versender frei gewählt wird, muss hier kein Sicherheitsmechanismus des jeweiligen Providers umgangen werden. Um den Anschein zu erwecken, die SMS stamme wikrlich vom Netzbetreiber, bedienen sich die Experten eines Massen-SMS-Versenders, der eine freie Wahl der Absenderrufnummer zulässt.

Sie demonstrierten den Angriff, in dem sie durch die bösartige SMS den DNS-Eintrag im Handy umbogen und auf einen von ihnen kontrollierten Server zeigen ließen. Dieser Server gab auf jedwede Anfrage zur Namensauflösung stets die gleiche IP-Adresse zurück. Die IP gehört zu einem ebenfalls bösartigen Proxy-Server (Apache samt Mod-Proxy), der sämtlichen HTTP-Traffic mitschnitt. Außerdem zeigten die Drei noch ein Tool, dass die an die anfragenden Mobiltelefone ausgelieferten Webseiten sofort in einem Browser sichtbar macht.

Dem Lauschangriff sind aber auch klare Grenzen gesetzt: Bei SSL-Verbindungen muss der Proxy-Server passen. Wenngleich die Entwickler aber anmerken, dass der Proxy in Kombination mit einer Anwendung wie sslstrip unter Umständen auch diese Hürde nehmen könnte. Gänzlich ins Leere läuft der Angriff jedoch, wenn das Mobiltelefon nur als Modem für einen PC oder ein Notebook dient. Denn dann gelten die DNS-Einstellungen des PCs und nicht die des Handys.

Anfällig für diese Art des Angriffs sind alle modernen Mobiltelefone, die per OMA (Open Mobile Alliance)-Standard (http://www.openmobilealliance.org/default.aspx) mit Einstellungen versorgt werden können. Die Demonstrationen liefen auf Geräten von Sony Ericsson und Nokia. Ob auch andere Smartphones wie Apples iPhone oder die Blackberry-Modelle anfällig sind, wollten die MSECLAB-Forscher nicht verraten.

Verhinder lassen sich solche Attacken laut Mune, Gassire und Piccirillo auf verschiedene Arten. Zum einen könnte ein Netzbetreiber sämtliche SMS mit Provisioning-Daten filtern, wenn sie nicht von ihm selbst stammen. Zum anderen müsste der Zugriff auf fremde DNS-Server außerhalb des IP-Bereich des Mobilfunkbetreibers gesperrt werden. (Uli Ries) / (dab)