Gravierende Sicherheitslücke bei Handys

Wie am Sonntag bereits von Spiegel TV berichtet, hat der europäische IT-Sicherheitsdienstleister Integralis eine gravierende Schwachstelle bei verschiedenen marktführenden Handymodellen entdeckt. Sobald die Nutzer die Bluetooth-Schnittstelle in diesen Handys aktivieren, können Hacker via Laptop oder PDA heimlich über die Handys Telefonate einleiten - zum Beispiel auch an kostenpflichtige 0190-Nummern. Hacker können zudem aktuelle Gespräche des Handy-Nutzers unterbrechen oder gar beenden. Aber damit nicht genug: Die von Integralis analysierten Mobiltelefone gestatten es Hackern, SMS-Nachrichten des Handy-Besitzers zu lesen und SMS-Nachrichten in seinem Namen zu verschicken. Angreifer können des weiteren Adressbücher und Terminkalender lesen und überschreiben und die gefälschten Daten sowohl im Handy-Speicher als auch auf der SIM-Karte abspeichern.

Gezielte Angriffe auf Handys sind möglich

Da es sich bei den betroffenen Mobiltelefonen um marktführende Massenprodukte handelt, die weltweit genutzt werden, ist dem Missbrauch durch Hacker Tür und Tor geöffnet. Nachdem Integralis die Schwachstelle in den betreffenden Handys in den letzten Wochen erstmalig diagnostiziert hatte, benachrichtigte der IT-Sicherheitsspezialist umgehend die Hersteller dieser Handys.

Bislang hat Integralis die Sicherheitslücke in verschiedenen Handytypen von zwei marktführenden Herstellern gefunden. Es handelt sich dabei um technische Schwachstellen der Bluetooth-Schnittstelle in den Geräten. Das Bluetooth-Protokoll selbst wurde nicht kompromittiert. Alle Angriffe via Bluetooth sind je nach Gerät in einem Umkreis zwischen 10 und 100 Metern durchführbar. Hacker benötigen für diese Angriffe lediglich einen Laptop oder einen Linux-betriebenen PDA. Sie haben dabei auch die Möglichkeit, Mikrofon und Lautsprecher der entsprechenden Handys auf ihren Laptop oder PDA umzuleiten. Über Scripte und Tools lassen sich derartige Angriffe auch automatisiert durchführen. Die von Integralis neu entdeckte Schwachstelle erfordert im Gegensatz zu bisher veröffentlichten Sicherheitslücken keinen physischen Kontakt zwischen Angreifer und Handy.

Michael Müller, Spezialist für WLAN- und Bluetooth-Sicherheit bei Integralis, vermutet, dass weit mehr Handys als die bislang analysierten von dieser Schwachstelle betroffen sein können: "Wir befürchten, dass nun auch Handys immer stärker in das Visier von Hackern geraten. Wir möchten deshalb allen Handy-Benutzern nahe legen, die Bluetooth-Funktionalität in ihren Mobiltelefonen nur in sicherer Umgebung zu aktivieren, also zum Beispiel zuhause oder im Büro. Denn ein erfolgreicher Angriff durch einen Hacker kann den jeweiligen Handy-Besitzer teuer zu stehen kommen. Bedenklich ist auch, dass jeder gewiefte Schüler, der sich mit Linux etwas auskennt, einen derartigen Angriff erfolgreich durchführen kann", so Müller.

Empfohlene Sicherheitsmaßnahmen

Integralis empfiehlt Handy-Nutzern generell, die Bluetooth-Funktionalität in ihren Handys und PDAs nur in sicheren Umgebungen zu aktivieren und keinesfalls an öffentlichen Plätzen wie z.B. Bahnhöfen, Flughäfen oder Messen. Allerdings kann man auch im eigenen Büro nicht wirklich sicher vor Angreifern sein, da diese in einem Umkreis von maximal 100 Metern agieren können. Zudem sollte der Sichtbarkeitsmodus sicherheitshalber immer ausgeschaltet sein, was allerdings keinen Schutz vor Angriffen garantiert. Außerdem sollten Handy-Besitzer sich bei ihren Herstellern nach neuen Firmware-Versionen für ihre mobilen Endgeräte erkundigen.

Bluetooth für Handys und PDAs

Viele Hersteller mobiler Kommunikationsgeräte implementieren mittlerweile die drahtlose Technologie Bluetooth in ihre Produkte. An der Spitze stehen hier Mobiltelefone und PDAs, gefolgt von Laptops und Eingabegeräten. Bluetooth-Implementierungen bieten Handy-Besitzern unter anderem die Möglichkeit, Visitenkarten, Kalendereinträge oder sogar Bilder zwischen den Geräten auszutauschen, ohne dass die Notwendigkeit einer expliziten, autorisierten Verbindung besteht.

Weitere Informationen zu der Thematik, insbesondere eine Liste der betroffenen Handy-Modelle finden Sie in diesem Dokument [Link entfernt] von Integralis.