Multimedia-Handy mit SicherheitslĂĽcke
Das von Vodafone angebotene Panasonic-Handy GD87 kann automatisch WAP-Seiten laden, ohne den Benutzer vorher zu fragen.
Das von Vodafone als Surf-Handy für das mobile Internet-Portal live! angebotene Panasonic GD87 kann ohne Wissen des Besitzers eine WAP-Verbindung aufbauen. Damit eröffnen sich neue Wege für unseriöse Dienste-Anbieter und Abzocker, da das Sicherheitsloch auch zum Aufrufen kostenpflichtiger WAP-Seiten genutzt werden kann. Die eigenmächtige Online-Sitzung würde der Kunde im Extremfall erst bei der Kontrolle seiner Handy-Rechnung bemerken. Bei einem Rechtsstreit gäbe es außerdem Probleme beim Nachweis, dass er das teure WAP-Angebot nicht selbst aufgerufen habe. Bislang ist ein solcher Fall jedoch noch nicht bekannt geworden.
Verantwortlich für die Sicherheitslücke ist der für ortsbezogene Dienste gedachte WAP-Push-Dienst. Eine spezielle Push-SMS soll den WAP-Browser selbsttätig aktivieren und etwa Werbeseiten des Supermarkts aufrufen, in dem sich der Handy-Besitzer gerade aufhält. Während es bei anderen Handy-Modellen üblich ist, vor Beginn der automatischen WAP-Session nach einer Bestätigung des Nutzers zu fragen, fehlt dem Panasonic GD87 diese zusätzliche Sicherheit.
Die Vodafone-Pressestelle bestätigte das Fehlen einer Sicherheits-Abfrage, Unternehmens-Sprecherin Amelie Döbele widersprach jedoch der Darstellung, es handele sich dabei um einen Software-Fehler des Multimedia-Handys. Man habe sich beim GD87 streng an die GSM-Vorgaben gehalten, die eine zusätzliche Abfrage nicht vorsähen. Um die Lücke auszunutzen, müssten potenzielle Angreifer sowohl die Rufnummer wie auch das Handy-Modell des Opfers kennen. Anderenfalls bliebe nur, wahllos WAP-Push-SMS an tausende Handy-Nummern zu schicken und zu hoffen, dabei ein Handy ohne Rückfrage zu erwischen. Dies käme den Angreifer aber teurer als die zu erwartenden Einnahmen.
Trotzdem will Vodafone bis Ende Dezember nur noch Panasonic-Handys mit einer modifizierten Firmware ausliefern, die eine eingebaute Rückfrage vor dem Aufruf einer WAP-Seite durch den Push-Dienst enthalten. Kunden mit einem älteren Panasonic GD87 will Vodafone auf Wunsch einen Tausch gegen ein Panasonic-Handy mit korrigierter Firmware oder ein Modell eines anderen Herstellers anbieten. (rop)
