Black Hat: Millionen Smartphones angreifbar

[English]Sicherheitsforscher haben sich im Auftrag des Department of Homeland Security (DHS) Smartphones angesehen. In Geräten von vier großen US-Mobilfunkanbietern wurden Schwachstellen gefunden, die ausgenutzt werden können.


Anzeige

Aktuell findet die Black Hat-Konferenz in Las Vegas statt. Dort werden die neuesten Sicherheitslücken in Produkten unter Sicherheitsforschern und Hackern diskutiert. Im Vorfeld wurde bereits die Meltdown-Schwachstelle im Samsung Galaxy S7 bekannt (Samsung Galaxy S7 von Meltdown-Schwachstelle betroffen). Wie es ausschaut, sind weitere Smartphone-Modelle von diversen Schwachstellen betroffen.

Viele Smartphone betroffen

Die Seite fifthdomain.com berichtet hier, dass eine vom Department of Homeland Security finanzierte Untersuchung eine Reihe von Schwachstellen in mobilen Geräten aufgedeckt habe. Die Schwachstellen finden sich in Geräten, die von den vier großen US-amerikanischen Mobilfunkanbietern angeboten werden (ohne dass Modelle genannt wurden). Die Sicherheitslücken umfassen auch Schlupflöcher, die es einem Hacker ermöglichen könnten, ohne das Wissen des Besitzers Zugang zu den Daten, E-Mails und Textnachrichten eines Benutzers zu erhalten.

Die Fehler erlauben es einem Benutzer, "die Privilegien zu erhöhen und das Gerät zu übernehmen", sagte Vincent Sritapan, ein Programm-Manager des Ministeriums für Wissenschaft und Technologie des Heimatschutzes, während der Black Hat-Konferenz in Las Vegas. Untersucht wurden Modelle von Verizon, AT&T, T-Mobile und Sprint. Andere Mobilfunkanbieter nutzen die fehlerhaften Geräte ebenfalls, sagte Sritapan.

Die Schwachstellen sind ab Werk in den Geräten vorhanden, also bevor ein Kunde das Telefon kauft. Das DHS geht davon aus, dass auch Smartphones, die in Behörden verwendet werden, betroffen sind. Die Sicherheitsforscher sagten, es sei nicht klar, ob Hacker das Schlupfloch schon ausgenutzt haben.

Während der obige Beitrag Millionen von Nutzern in den USA wahrscheinlich gefährdet sieht, gehe ich davon aus, dass es auch entsprechende Modelle weltweit betrifft. Denn oft wird die gleiche oder eine ähnliche Firmware verwendet. Die Sicherheitsforscher sagen, dass die Schwachstellen nicht auf die Geräte in den USA beschränkt sind. Es wird erwartet, dass die Forscher im Laufe der Woche weitere Details über die Mängel bekannt geben.

Trojanerbefall als Auslöser für die Untersuchung

Die Untersuchung der Gräte wurde von Kryptowire, einem in Virginia ansässigen Unternehmen für mobile Sicherheit, durchgeführt und durch das Critical Infrastructure Resilience Institute, ein Forschungszentrum des Department of Homeland Security, finanziert.

"Das ist etwas, das Menschen ohne ihr Wissen treffen kann", sagte Angelos Stavrou, der Gründer von Kryptowire Fifth Domain. Er sagte, es sei schwer zu sagen, ob und wie die Schwachstelle ausgenutzt wurde. Diese Schwachstellen "sind tief im Inneren des Betriebssystems vergraben."

Stavrou sagte, dass die Hersteller bereits im Februar 2018 über die Mängel informiert wurden. Allerdings haben einige Hersteller ihren Prozess der Offenlegung von Sicherheitslücken nicht veröffentlicht, und die Forscher waren sich zunächst nicht sicher, ob die Gerätehersteller die Offenlegung erhalten hatten. Denn Kryptowire hat, nach Aussage von Stavrou, keine Antwort erhalten. Er sagte, alle Hersteller seien sich der Schwachstellen bewusst.


Anzeige

Die Untersuchung kam übrigens ans Rollen, nachdem Kryptowire Schwachstellen bzw. Trojaner in Geräten der Blu-Telefongesellschaft entdeckt hatte (siehe). Dort wurden sensible Daten gesammelt und ohne Wissen des Nutzers an Dritte weitergegeben. Über solche Risiken in China-Phones hatte ich in diversen Blog-Beiträgen berichtet. Ergänzung: Einige Hinweise finden sich in diesem Artikel (Abschnitt am Ende).

Ähnliche Artikel:
Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt
Backdoor in China-Phones "telefoniert nach Hause"
Chinas Meitu und der verunglückte internationale Start
Was kostet ein Chinese? Chinas Einwohner sind gläsern


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.