BSI-Kongress: Preis für Beitrag zu Handy-Manipulation
Über einen Mikrocontroller zwischen SIM und Mobiltelefon lassen sich Handys quasi beliebig manipulieren - und das völlig unabhängig von Modell und Hersteller.
Im Rahmen des 11. Deutschen IT-Sicherheitskongresses hat das BSI den "Best Student Award" an Benedikt Heinz von der Technischen Universität München verliehen. Für seinen Beitrag "SIM Application - Toolkit basierter Angriff auf mobile Endgeräte durch Hardwaremanipulation an der SIM-Karte" erhält er einen dreimonatigen Forschungsaufenthalt an der Royal Holloway University of London.
Heinz beschreibt darin, wie sich Handys herstellerunabhängig abhören und überwachen lassen, indem man einen Mikrocontroller zwischen SIM und Mobiltelefon schaltet. Für dessen Einbau muss sich der Angreifer laut Heinz nur etwa fünf bis zehn Minuten Zugang zu dem Gerät verschaffen. Dann kann der Mikrocontroller alle Daten mitlesen, die zwischen SIM und Endgerät übertragen werden, etwa die PIN, Telefonbucheinträge, Anruflisten und Kurznachrichten. Außerdem kann der Angreifer jederzeit die Positionsdaten des Handys abfragen.
Über das SIM Application Toolkit (SAT) kann eine SIM-Karte Kommandos an das Endgerät schicken. Dies nutzen beispielsweise Netzbetreiber, um betreiberspezifische Menüs auf dem Endgerät einzublenden. Über SAT-Befehle wie SEND SHORT MESSAGE und CALL CONTROL kann somit auch der Mikrocontroller unter anderem SMS-Mitteilungen mit abgefangenen Informationen verschicken oder alle Gespräche des Anwenders für diesen unsichtbar über ein Callcenter umleiten. Als mögliche Gegenmaßnahme führt Heinz vor allem das Versiegeln des Geräts an. (ju)
