Krass: Hacker setzt sächsischen Innenminister auf Interpol-Fahndungsliste

Publiziert am 6. Juli 2016 von Günter Born

Bei Interpol fand sich der sächsische Innenminister Markus Ulbig (scheinbar) kurz auf der Fahndungsliste. Grund für die Fahndung: Die Massenüberwachung von 55.000 Handys in Sachsen. Eine Geschichte und die Hintergründe.

Anzeige

Tja, ich tät sagen: Mehrfach wirklich dumm gelaufen – aber ein Hacker hatte eine wirklich pfiffige Idee. Sozusagen Stoff, aus dem man Krimis schreiben kann. Hier die Zutaten zu einer wahren Räuberpistole.

Massenüberwachung von Mobiltelefonen in Sachsen

In Sachsen gab es 2011 im Umfeld einer Anti-Nazi-Demo ja die massenhafte Überwachung von Handys durch die Polizei, bei der 55.000 Menschen abgehört wurden. Bei netzpolitik.org kann man hier ein paar Infos abrufen.

Cross-Site-Scripting-Lücke beim Interpol-Server

Und es gab eine 'Schwachstelle' (Cross Site Scripting-Lücke) auf der Interpol-Webseite, die der sächsische Hacker Matthias Ungethüm entdeckt hatte. Bei einer Cross-Site-Scripting-Lücke kann man entweder Informationen von einer Internetseite über einen weiteren geöffneten Browser-Tabulator auslesen. Oder man kann diesen Ansatz auch verwenden, um eine Originalseite während der Anzeige im Browser zu manipulieren.

Und so kommt der Innenminister auf die Interpol-Fahndungsliste

Durch diese Lücke auf dem Interpol-Server konnten quasi Falschmeldungen per Cross Site Scripting verbreitet werden. Dazu braucht es einen Original-Link von der Interpol-Fahndungsseite. Verlängert man diesen, kann man die angezeigte Interpol-Seite "umbauen". Postet man nun den manipulierten Link bei Facebook, auf einer Webseite oder in einer E-Mail, wird ein Nutzer bei dessen Anwahl im Browser zwar auf die Internetseite geleitet. Diese wird aber in manipulierter Form angezeigt.

Wichtig ist dabei anzumerken, dass die Interpol-Seite selbst nicht verändert wird – sondern der Surfer bekommt (über Cross Site Scripting) die manipulierte Anzeige zu sehen.

Gefakte Interpol-Seite

Matthias Ungethüm hat nun die Anzeige so manipuliert, dass Markus Ulbig "wegen der Massenüberwachung von 55.000 Mobiltelefonen" gesucht wird. Quasi eine Retourkutsche auf die Überwachungsanordnungen des Innenministers. Ungethüm hatte die Manipulationsmöglichkeit (die zwischenzeitlich geschlossen wurde) angeblich am 30. Mail an Interpol gemeldet. Dann hat er die Idee umgesetzt und den manipulierten Link an DPA geschickt. Und nun geht die Story viral, wie man bei MDR.de, Leipziger Volkszeitung, Süddeutsche Zeitung etc. nachlesen kann.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Krass: Hacker setzt sächsischen Innenminister auf Interpol-Fahndungsliste

  1. Alexander sagt:
    6. Juli 2016 um 16:25 Uhr

    Nicht 30 Mal. Am 30. Mai!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.