28C3: GSM-Handys werden missbraucht

Im Rahmen des 28. Chaos Communication Congress (28C3) haben zwei Experten einen Angriff auf ein GSM-Handy durchgeführt. Sie demonstrierten, wie leicht ein Hacker mittels einer Open-Source-Software kostenpflichtige Rufnummern anwählen kann. Für den Geschädigten können die Folgen verheerend sein. Die monatliche Mobilfunkrechnung kann bis in die Tausende gehen.

Wie einer der beiden Entdecker erklärte, werde diese Technik bereits von Kriminellen missbraucht. Laut Aussage der Fachleute ist jeder GSM-Handynutzer betroffen. Es wird geschätzt das etwa weltweit drei Viertel der Handyinhaber ein solches Gerät besitzen. Im letzten Jahr führte eine Gruppe auf der Hackerveranstaltung bereits einen Lauschangriff mit dem Prinzip vor, auf dem auch das aktuelle Verfahren basiert. Damals benutze das Team ein preisgünstiges Handy, eine ausgewählte Software und einen Laptop. Um den Versuch durchführen zu können, mussten im Vorfeld allerdings ein paar Daten bekannt sein.

Beim Kongress 2011 gingen die Experten noch ein Stück weiter und konnten tatsächlich ein Mobilfunktelefon nachahmen. Das virtuelle Gerät kann SMS versenden und Telefonate tätigen, ohne dass ein potenzielles Opfer etwas mitbekommt. Des Weiteren könnte ein Angreifer die Mobilfunkbox abhören.

Kritik
Der Sicherheitsspezialist Nohl kritisierte mit seinem Kollegen das Problem erneut und forderte die Verantwortlichen auf, die bekannte Schwachstelle zu beheben. Durch das neue Verschlüsslungssystem namens A5/3 könnten automatisch Probleme wettgemacht werden. Sollten die Mobilfunkanbieter auf die Kritik ausreichend reagieren, wird das eigentliche Handy die größte Gefährdung darstellen. Schließlich bleibt die alte Hardware in den Produkten weiterhin aktiv, die nur das schlechtere Verschlüsslungsverfahren unterstützt. In neueren Mobilfunktelefonen sei die Verschlüsslungstechnik A5/3 schon verbaut. Auf der Veranstaltung ermutigte Nohl die Menschen, sich an einer interaktiven Weltkarte zu beteiligen. Sie sollen alle Provider kennzeichnen, die in ihrem Land bereits etwas gegen den GSM-Betrug getan haben.