30. Dezember 2010
Allgemein
27C3: Mobiltelefone sind einfache Opfer
Schon seit einigen Jahren wird immer wieder davor gewarnt, dass Mobiltelefone mit wachsender Leistungsfähigkeit auch mehr Sicherheitslücken bekommen. Schon alleine aus statistischen Gründen wachsen mit der Anzahl Codezeile auch die Anzahl der Bugs. Auf dem 27. Chaos Communication Congress waren Telefone deswegen eines der Hauptthemen.
In einer Session über SMS-o-Death (SMS des Todes) zeigten die Präsentatoren eindrucksvoll, wie man mit modifizierten SMS die Telefone aller getesteten Hersteller lahmlegen konnte. Der Grund oft: Schlampige Programmierung, die nicht die SMS-Spezifikation umsetzt, sondern sich auf Standardfälle verlässt.
Ein Hacker wäre kein guter Hacker, wenn er sich mit seinen Erkenntnissen nicht an die Hersteller wenden würde. Das Ergebnis sei oft mager. Die Hersteller haben nur ein Interesse am Verkauf und nicht am Service. Und selbst wenn sie Firmware-Update bringen würden, müssten die Mobilfunkanbieter noch nachziehen, weil die die Software noch mit ihrem Logo "branden" – und auch bei denen gibt es das gleiche Desinteresse.
Dabei lieferten die Hacker die Szenarien für echte Schädigungen gleich mit: Böswillige Menschen könnte sowohl die Hersteller als auch die Mobilfunkanbieter erpressen, indem sie damit drohen massenweise Telefone von Kunden unbenutzbar zu machen.
Der Umgang mit Sicherheitsproblemen wird sich in den nächsten Jahren auch bei den Telefonherstellern ändern müssen. Sie waren bisher von dieser Art Problemen verschont und haben offenbar oft gar keine Abläufe für deren Behandlung.
Links
- ZEIT: Eine SMS – und das Smartphone ist weg
- heise newsticker: Viele Handys für SMS-Angriffe anfällig