LAS VEGAS - Zwei Milliarden heute verwendete Mobiltelefone haben versteckte, oft schlecht gesicherte Steuerelemente, mit denen Hacker auf die Geräte zugreifen können, sagten zwei Forscher gestern (August). 6) auf der BlackHat-Sicherheitskonferenz hier.

In einem Vortrag mit dem Titel "Zelluläre Ausbeutung auf globaler Ebene: Aufstieg und Fall des Kontrollprotokolls" haben Mathew Solnik und Marc Blanchou von Die in Denver ansässigen Accuvant Labs erklärten, dass die Probleme auf eine schlechte Implementierung des Open Mobile Alliance-Geräte-Managements (OMA-DM) zurückzuführen sind. Protokoll.

MEHR: Mobile Security Guide: Alles, was Sie wissen müssen

OMA-DM wird von Mobilfunkanbietern weltweit verwendet, um Software-Updates bereitzustellen, Fehler zu beheben und an Telefone zu senden. Wenn Sie beispielsweise ein Android-Telefon von einem Mobilfunkanbieter anstatt von Google gekauft haben, haben Blanchou und Solnik erklärt, dass es sich um ein Telefon handelt Software-Updates komm durch OMA-DM. (Die meisten iPhones und iPads verwenden nicht den Standard, außer für Geräte, die von Sprint verkauft werden.)

Dieser Anruf wurde abgefangen

Die Sicherheit dieser Software-Updates kann jedoch trivial sein. Viele Netzbetreiber überprüfen Aktualisierungen mit einer "Signatur", die eine Kombination aus der eindeutigen ID-Nummer des Zielgeräts und einem Geheimnis darstellt Codierungstoken, aber einige Carrier, so die Forscher, verwenden ein einziges Token für alle Aktualisierungen aller Geräte in ihren Netzwerken.

Wenn Sie an zwei oder mehr Telefone gesendete Bestätigungscodes mit den leicht zu findenden ID-Nummern der Telefone vergleichen, erhalten Sie das Codierungstoken des Netzbetreibers. Sobald dies erreicht ist, kann ein Angreifer Software "signieren" und einzelne Telefone mit gefälschten Updates ansprechen, die Anrufe abhören, persönliche oder finanzielle Daten stehlen oder sogar die vollständige Kontrolle übernehmen können.

Die regelmäßige Kommunikation der Telefone mit den OMA-DM-Servern der Netzbetreiber ist ebenfalls anfällig. Aufgrund der schlechten Implementierung von Standards für sichere Übertragung ist es oft möglich, eine Bühne einzurichten "Man-in-the-Middle" -Angriffe in dem ein Hacker heimlich Nachrichten abfängt und modifiziert, die zwischen dem Telefon und dem Netzbetreiber übertragen werden.

Mit solchen Methoden, so Blanchou und Solnik, könnte ein hoch entwickelter Angreifer das erzwingen, was sie als "böswillige Netzwerkrekonfiguration" bezeichneten - erzwingen Geräte zum Umschalten auf andere Internet-Zugangspunkte, andere bevorzugte Mobilfunknetze oder sogar andere OMA-DM-Server, einschließlich solcher, die von gesteuert werden Angreifer.

Nicht nur Telefone und nicht besser werden

Mobiltelefone sind nicht die einzigen Geräte, die OMA-DM verwenden. Die meisten Geräte, die Mobilfunknetze verwenden - Tablets, Wi-Fi-Hotspots, eingebettet "Internet der Dinge"Geräte, Laptops mit WLAN-Karten - auch.

Am wichtigsten ist, dass auch viele Fahrzeuge mit Fernunterstützungsfunktionen wie OnStar den Standard verwenden. Während die Übernahme eines Mobiltelefons durch Hacker unpraktisch und oft kostspielig ist, kann die Übernahme eines Fahrzeugs durch Hacker tödlich sein.

Die Sicherheitslücken werden laut Solnik und Blanchou mit dem Übergang von 3G- zu 4G-Netzen immer zahlreicher.

Normalerweise verbessert sich die zellulare Sicherheit mit dem technologischen Fortschritt - erleben Sie den dramatischen Rückgang in "geklonte" Telefone, nachdem die Netzbetreiber etwas mehr als ein Jahrzehnt von analogen auf digitale Netze umgestellt hatten vor. Dies sei bei OMA-DM nicht der Fall, erklärten die Forscher.

Während es in 3G-Netzen zumindest in Nordamerika keine große "Angriffsfläche" gibt, nimmt die Angriffsfläche stark zu mit 4G- und LTE-Netzen, die den traditionellen Internet-Datenprotokollen, mit denen Hacker vertraut sind, sehr ähnlich sind.

  • Beste Android Anti-Virus Software 2014
  • So verhindern Sie, dass Ihr Smartphone Ihre Identität stiehlt
  • 12 Mobile Datenschutz- und Sicherheits-Apps

Folgen Sie Paul Wagenseil bei @snd_wagenseil. Folgen Sie Toms Guide unter @ Tomsguide, auf Facebook und weiter Google+.

Erhalten Sie sofortigen Zugriff auf aktuelle Nachrichten, die heißesten Bewertungen, tolle Angebote und hilfreiche Tipps.

Vielen Dank, dass Sie sich bei Tom's Guide angemeldet haben. Sie erhalten in Kürze eine Bestätigungs-E-Mail.

Es gab ein Problem. Bitte aktualisieren Sie die Seite und versuchen Sie es erneut.

Kein Spam, das versprechen wir. Sie können sich jederzeit abmelden und wir werden Ihre Daten niemals ohne Ihre Erlaubnis weitergeben.