IT-Sicherheit

21. April 2009 17:06; Akt: 21.04.2009 18:39 Print

Der Hacker kommt per SMS

Eine einzige Kurznachricht reicht, um ein Handy lahm zu legen. Cyber-Kriminelle können so die Kontrolle über das Gerät erlangen und wertvolle Daten ausspähen.

storybild
Zum Thema
Fehler gesehen?

Der Anbieter von mobilen Sicherheitslösungen, Trust Digital, hat zwei Methoden gezeigt, wie sich mithilfe von passenden Tools ohne grosse Umstände Mobiltelefone über eine SMS hacken lassen. Betroffen seien Smartphones mit dem Betriebssystem Windows Mobile. Die erste Methode wird «Midnight Raid Attack» genannt, da sie besonders gut in der Nacht anwendbar ist. Der Schaden, welcher sich anrichten lässt, kann gross sein. Mittels einer Kurznachricht wird der Browser des Smartphones automatisch gesteuert und dazu veranlasst, eine manipulierte, schädliche Internetseite zu öffnen. Die Webseite lädt dann Skripte auf das Gerät, welche wertvolle Dateien stehlen.

Der TV-Player benötigt einen aktuellen Adobe Flash Player: Flash herunterladen

Bei der zweiten Methode handelt es sich um so genannte «Control Messages». Die SMS-Nachrichten deaktivieren die SSL-Verschlüsselung eines Smartphones und öffnen das Gerät somit für den Hacker. Beim nächsten Mal, wenn das Mobiltelefon über WLAN online geht, kann der Hacker den Datenverkehr kontrollieren. Daraus lassen sich Benutzernamen und Passwörter von E-Mail-Konten oder anderen Accounts ausspähen.

Der TV-Player benötigt einen aktuellen Adobe Flash Player: Flash herunterladen

Entwarnung

Bei beiden Methoden handelt es sich vorläufig lediglich um Machbarkeitsstudien, welche die bestehende Gefahr verdeutlichen sollen. Sicherheitsexperte Dan Dearing von Trust Digital betont allerdings, dass Personen mit ausreichend Fachkenntnis den Angriff problemlos selber durchführen können. Trotzdem sieht er in dieser Angriffsform noch keine Bedrohung. «Midnight Raid Attack» und «Control Messages» seien noch zu wenig profitabel, da der Angreifer daraus schwer einen finanziellen Nutzen für sich ziehen kann. Bisher wurden in der Praxis noch keine solche Angriffe bestätigt.

(ipu)