Neue Sicherheitslücke

Smartphones durch SMS-Angriffe gefährdet

Hacker könnten mithilfe der richtigen Tools die Kontrolle über Smartphones übernehmen, indem sie lediglich eine SMS-Kurznachricht an das potenzielle Opfer schicken. Mit dieser Warnung wendet sich aktuell Trust Digital, ein US-Anbieter für mobile Sicherheitslösungen, an Handynutzer. Ziel des als "Midnight Raid Attack" bezeichneten Angriffs sei der Diebstahl von sensiblen Handydaten.

"Mit einer Midnight Raid Attack könnte ein Hacker beispielsweise durch das Verschicken einer einfachen Textnachricht einem Smartphone befehlen, seinen Webbrowser automatisch zu starten, um eine Seite mit schädlichen Inhalten aufzurufen", erklärt Dan Dearing, Vice President Marketing bei Trust Digital, gegenüber Cnet.

Dem Sicherheitsexperten zufolge handelt es sich bei den "Midnight Raid Attacks" vorläufig zwar lediglich um Machbarkeitsstudien, die der Öffentlichkeit vor Augen führen sollen, wie ernst diese Gefahr in Wirklichkeit ist. Dearing betont allerdings auch, dass eine Person, die über den hierfür nötigen Wissensstand verfügt, diese Angriffsform ohne Probleme selbst durchführen könnte. "Proof-of-Concepts wie diese dienen dazu, technische Möglichkeiten auszuloten. Man muss aber auch ganz klar sehen, dass Cybercrime ein Profigeschäft ist. Das geschilderte Beispiel ist in der Form nur bedingt massenkompatibel", stellt Thorsten Urbanski, Sprecher des deutschen Antiviren-Herstellers G Data, auf Anfrage von pressetext fest. Derartige Angriffe könnten in der geschilderten Form bislang noch nicht bestätigt werden. "Aktuell von einer umfassenden Bedrohungslage zu sprechen ist sicherlich übertrieben. Bisher fehlen zudem erfolgreiche Konzepte, wie die Täter hier an das Geld kommen", meint Urbanski.

Trust Digital hat zwei unterschiedliche Verfahren getestet, mit denen sich Hacker, die über die notwendigen Tools und das entsprechende Know-how verfügen, per SMS Zugriff auf ein Smartphone verschaffen können. Bei ersterer Variante kann ein Angreifer den Browser eines Mobiltelefons und damit auch automatisch eine manipulierte Webseite öffnen lassen. "Die Seite lädt dann eine ausführbare Datei auf das Handy, die auf dem Gerät gespeicherte Daten ausliest", schildert Dearing. Wie genau das funktioniert, demonstriert der Trust-Digital-Experte in einem YouTube-Video.

Die zweite Angriffsmethode nutzt hingegen eine spezielle Form der SMS, die als sogenannte "Control Message" bezeichnet wird, um die SSL-Verschlüsselung auf einem mobilen Endgerät zu deaktivieren. Ist dies gelungen, können Cyber-Kriminelle den gesamten WLAN-Datenverkehr eines Handys überwachen und bestimmte sensible Informationen wie etwa Log-in-Daten von E-Mail-Konten oder Kreditkarteninformationen herauslesen. Auch zu dieser Version findet sich ein Video auf YouTube. (pte/cvi)