Thema der Woche

29. März 2004

Handy-Hack per Bluetooth

Gravierende Schwachstellen hat [externer Link] Integralis bei mindestens zwei verbreiteten Handymodellen entdeckt: Sobald ein Nutzer die Bluetooth-Schnittstelle in diesen Geräten aktiviert, soll es Angreifern via Laptop oder PDA möglich sein, über die Handys Telefonate einzuleiten, aktuelle Gespräche zu übernehmen oder zu unterbrechen, SMS-Nachrichten zu lesen und im Namen des Opfers zu verschicken sowie Adressbücher und Terminkalender zu lesen und zu überschreiben und die gefälschten Daten sowohl im Handy-Speicher als auch auf der SIM-Karte abzulegen. Laut [externer Link] vorläufigem Advisory sind von der Sicherheitslücke auf jeden Fall das Nokia 6310i (5.50) und das Sony Ericsson T610 (R1A081) betroffen. Michael Müller, Spezialist für WLAN- und Bluetooth-Sicherheit bei Integralis, vermutet jedoch, dass weit mehr Handys als die bislang analysierten diese Schwachstelle aufweisen könnten.

Es handelt sich dabei laut Integralis um ein Problem der Bluetooth-Schnittstelle in diesen Geräten, das Bluetooth-Protokoll selbst wurde nicht kompromittiert. Alle Angriffe via Bluetooth sind je nach Gerät in einem Umkreis zwischen 10 und 100 Metern durchführbar. Die neu entdeckte Schwachstelle erfordert keinen physischen Zugriff des Angreifers auf das Handy und funktioniert bei bekannter Bluetooth-Kennung (BDADDR) angeblich auch dann, wenn das angegriffene Gerät zum Zeitpunkt der Attacke im "unsichtbaren" Modus arbeitet. Sofern man sie nicht gerade benutzt, sollte die Bluetooth-Funktion (vorsorglich auch bei anderen Handy-Typen) daher generell ausgeschaltet sein. Eine Nutzung sollte möglichst nicht im öffentlichen Raum erfolgen. Integralis empfiehlt Handy-Besitzern weiter, sich bei ihren Herstellern nach aktuellen Firmware-Versionen für ihre mobilen Endgeräte zu erkundigen.

PS (2004-06-01):Im Mai hat Integralis in Zusammenarbeit mit dem Mobile-Computing-Portal Xonio 23 weitere Handytypen von Motorola, Nokia, Panasonic, Siemens, Sony Ericsson und T-Mobile getestet und bei 13 Modellen Sicherheitslücken an der Bluetooth-Schnittstelle gefunden. Für nähere Informationen siehe [externer Link] Integralis' Pressemitteilung und die [externer Link] Liste der getesteten Handy-Modelle.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.