Zwei Milliarden Mobilfunkgeräte sind unsicher

Auf rund zwei Milliarden Mobilfunkgeräten soll die betroffene Software "vDirect Mobile" installiert sein. Sie dient den Betreibern zur Fern-Konfiguration von Mobiltelefonen. Wie auf der Black-Hat-Konferenz vorgeführt wurde, hat das Programm mehrere Lücken, die es erlauben, die betroffenen Geräte zu manipulieren. Selbst ein Neustart schafft in manchen Fällen keine Abhilfe, wie heise berichtet. Neben Handys sind auch mobile Hotspots, Autos, Industrieanlagen, Tablets und Notebooks betroffen. "vDirect Mobile" basiert auf dem Open Mobile Alliance Standard "Device Management" und kommt betriebssystemunabhängig auf Geräten vor. Betroffen sind also alle Systeme, egal ob Android, Blackberry, iOS oder Windows-Phone.

Über das Programm lassen sich Einstellungen ändern und Daten auf den Geräten löschen. Die größte Schwachstelle ist die schlecht umgesetzte Authentifizierung der Netzbetreiber bei Nutzung der Fernwartung. Zwar weisen sich die Betreiber mit einer Geräte-ID und einem Code aus, die ID entspricht allerdings der IMEI, die mit entsprechenden Werkzeugen aus der Ferne aulesbar ist. Der Code ist zudem für alle Geräte im Netz eines Betreibers identisch. Für einen erfolgreichen Angriff muss mit einer Funkzelle ein Netzwerk aufgebaut werden. Daraufhin verbinden sich Geräte in der Nähe mit dieser Zelle, was eine Manipulation ermöglicht. Der Nutzer merkt davon im Normalfall nichts. So lassen sich etwa andere Proxy-Einstellungen in Smartphones einstellen, was ein Absaugen der von Daten erlauben würde. RedBend, der Hersteller von vDirect Mobile, wurde informiert. Ein Update wurde bereits veröffentlicht, wann die Netzbetreiber dieses an die Geräte der Nutzer ausspielen, ist nicht bekannt.