Black Hat 2014: Netzbetreiber-Software zum Fernsteuern von Mobilgeräten erlaubt Missbrauch

Auf zwei Milliarden Mobilfunkgeräten läuft eine verwundbare Software, die Netzbetreibern zum Kontrollieren der Geräte dient. Mit geringem Aufwand können Angreifer die Geräte unbemerkt aus der Ferne manipulieren und so beispielsweise Datenverkehr mitschneiden.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Uli Ries

Wie Mathew Solnik und Marc Blanchou von Accuvant während der Sicherheitskonferenz Black Hat 2014 erklärten, bringt die zur Over-the-Air-Konfiguration von Mobilfunkgeräten genutzte Software vDirect Mobile von RedBend Software etliche Schwachstellen mit. Durch Missbrauch der Lücken kann ein Angreifer verschiedenste Kommandos an die Geräte schicken und diese so nachhaltig manipulieren: Laut Solnik überstehen einige der Manipulationen auch Neustarts.

vDirect Mobile ist kompatibel zum weltweit von verschiedensten Hard- und Softwareherstellern verwendeten Standard OMA-DM (Open Mobile Alliance - Device Management). Netzbetreiber nutzen die auf zirka zwei Milliarden Mobilgeräten wie Smartphones, mobilen UMTS-Hotspots, Autos, M2M-Komponenten oder 3G-/LTE-Modulen in Notebooks installierte Software, um beispielsweise Firmware-Updates oder geänderte APN- und Proxy-Einstellungen an das Gerät zu schicken. Auch die hinlänglich bekannten Mechanismen zum Löschen eines verlorenen Mobilfunkgeräts lassen sich per OMA-DM umsetzen. Verwendet wird die Software auf allen gängigen Mobil-Plattformen wie Android, Blackberry, iOS oder Windows Phone.

Den Sicherheitsexperten zufolge ist der von vDirect Mobile verwendete Mechanismus, mit dem sich der Netzbetreiber vor dem Absetzen der Kommandos gegenüber dem Endgerät ausweist, denkbar einfach auszuhebeln. Die Authentisierung erfordert zwar das Übermitteln der Geräte-ID und eines geheimes Tokens, die Geräte-ID sei jedoch die IMEI, die mit einem GSM-Scanner wie OpenBTS problemlos abzufangen ist. Und das geheime Token sei bei den jeweiligen Netzbetreibern identisch für alle im Netzwerk befindlichen Endgeräte.

Mit einem solchen Software Defined Radio wie dem USRP B210 von Ettus Research und einem Laptop lässt sich der Angriff durchführen

(Bild: Video von Ettus Research)

Ein konkreter Angriff setzt eine Femtozelle, nanoBTS oder USRP B210 voraus. Mit diesen Geräten baut der Angreifer ein Mobilfunknetzwerk auf. Nachdem sich Mobilfunkgeräte immer mit der stärksten Basisstation verbinden, dürften sich alle in der Nähe des vermeintlichen Funkturms befindlichen Endgeräte mit dem vom Angreifer kontrollierten Netz verbinden. Ist dies passiert, kommt es zu einer Man-in-the-Middle-Situation, durch die sich mangels wirksamer Authentifzierung per WAP (Wireless Application Protocol) Kommandos im WBXML (WAP Binary XML)-Format an die Mobilfunkgeräte schicken lassen. Diese Kommandos lösen keine Bildschirmmeldungen aus, da sich die Meldungen laut OMA-DM-Standard unterdrücken lassen. Werden dem Gerät beispielsweise manipulierte APN- oder Proxy-Einstellungen untergeschoben, landet sämtlicher Datenverkehr unbemerkt vom Anwender beim vom Angreifer kontrollierten Proxy.

Mathew Solnik und Marc Blanchou konnten ihre Erkenntnisse während des Vortrags aus Zeitgründen nicht in der Praxis demonstrieren. Nachdem der von ihnen im Vorfeld kontaktierte Hersteller RedBend Software aber kürzlich ein Sicherheitsupdate für seine Software freigab, dürften die Schwachstellen echt sein. Wann welcher Netzbetreiber das Update an die betroffenen Geräte seiner Kunden verteilt, vermochten die Forscher nicht zu sagen – auf jeden Fall ist die Sicherheitslücke ein weltweites Problem. (fab)