Massive Sicherheitslücken bei SMS-Nachfolger RCS
Der Rich Communication Service - kurz RCS - soll zukünftig die SMS ablösen. Mit dem neuen Standard wird neben Texten auch das Versenden von Bildern, Audio und Video möglich sein. Allerdings birgt dieser Standard eine gravierende Sicherheitslücke, wie Forscher des Berliner SRLabs nun herausfinden konnten. Sie bezogen RCS-Konfigurationsdateien von den Mobilfunkanbietern, mit denen sie auf Daten in der Cloud, etwa gespeicherte Nachrichten, zugreifen konnten.
So könnten Hacker eine Zwei-Faktor-Authentifizierung umgehen, da sie an das Smartphone gesendeten Codes mitlesen können. Die SRLabs-Forscher hätten so Passwörter, Standort und E-Mail-Konten der betroffenen Nutzer abgreifen können.
Hunderte Millionen Menschen angreifbar
Obwohl sich RCS bisher noch nicht flächendeckend durchsetzen konnte, unterstützen laut SRLabs etwa 100 große Mobilfunker den neuen Standard. Google arbeitet ebenfalls daran, RCS auf seinen Geräten zu Kommunikations-Standard zu machen. "Ich bin überrascht, dass große Firmen wie Vodafone eine neue Technologie einführen, die Hunderte Millionen Menschen angreifbar macht, ohne sie vorher zu fragen", sagte SRLabs Forscher Karsten Nohl gegenüber Motherboard.
Bei den Providern liegt auch der eigentliche Fehler. Jeder hat andere Methoden zur Identifikation von Nutzern. Ein Provider identifizierte Nutzer über deren IP-Adresse, was dazu führt, dass jede auf ihrem Smartphone installierte App ohne zusätzliche Berechtigungen auf die RCS-Daten, wie Passwort und Textnachrichten, zugreifen konnte.
Fehler der 90er Jahre
Ein anderer Anbieter sendete einen sechsstelligen Code, um die App freizuschalten. Allerdings konnte man eine unendliche Anzahl von falschen Zahlenkombinationen ausprobieren. Hacker bräuchten für eine Million Versuche laut Nohl fünf Minuten. "Alle Fehler, die man in den 90er Jahren gemacht hat, werden neu erfunden und wieder gemacht", so der Sicherheitsforscher. Besonders einfach sei die Abfrage des Nutzer-Standorts. Um diesen herauszufinden ist bei vielen Providern nicht einmal die Eingabe eines Passworts nötig.
Die genauen Details der Sicherheitslücken bleiben derzeit unter Verschluss, da das SRLab sie auf der Black Hat Conference präsentieren wird, die von 2. bis 5. Dezember in London stattfindet. Einige Anbieter wie Vodafone untersuchen laut Motherboard bereits, ob tatsächlich Sicherheitslücken bestehen. Ob diese bereits geschlossen wurden, ist derzeit noch unbekannt.