News Sicherheitslücke macht Millionen SIM-Karten angreifbar

[Doggi]

Viel Wind um nichts. Das wir abgehört werden wußte eigendlich auch jeder, Snowden hat es nur besätigt. Das SIM Karten der älteren Generation angreifbar sind war auch schon irgendwie irgendwo mal ein Thema. (Ist aber schon Jahre her.) Aber mal Hand aufs Herz. Wer hat denn noch SIM Karten der älteren Generation? Sind es wirklich so viele oder wird hier mit Zahlen gespielt die keiner nachvollziehen kann nur um eine aussagekräftige Schlagzeile zu bekommen. Ich sehe es gelassen. Ausspioniert, abgehört, abgezockt. so ist es heute und wird sichch auch in Zukunft eher verschlechtern wie verbessern.

 

[RuShEr89]

Und Vodafon interessiert es nicht.

 

[jojo_w]

Und Vodafon interessiert es nicht.

hab ich mir auch gedacht, nur mich als vodafone kunde würde es interessieren

 

[Schnitzel89]

So wie es aussieht sind Vodafone-Karten auch nicht betroffen:

"Ein Sprecher von Vodafone sagte, SIM-Karten würden automatisch aktualisiert und dabei auch auf den neuesten Stand der Verschlüsselungstechnik gebracht. "Darüber hinaus haben wir in unserem Netz Filter, die solche SMS ausfiltern" wie Nohl sie benutzt hatte. Nohl hatte Wartungs-SMS für das Knacken der entsprechenden SIM-Karten benutzt, die sogenannte "Over-the-Air"-Kommunikation."

Quelle: http://www.heise.de/newsticker/meld...tschland-offenbar-kaum-betroffen-1921565.html

 

[terraconz]

Es wird vom Angreifer eine stille SMS geschickt. Das heißt, du siehst diese nicht auf dem Handy. In dieser SMS ist ein falscher Code vorhanden und das Handy sagt, hey der ist falsch und schickt den richtigen nochmal raus. Dieser wird abgefangen und damit könnte deine Karte kopiert werden und so manipuliert werden das du keine SMS mehr bekommst aber der Angreifer dafür oder es könnte auf deine Kosten telefoniert werden.

Wie wird Code ausgeführt via einer SMS?
Ist ja Binärcode, oder? Wie der Ablauf ist war mir schon klar das steht ja in der news aber genau der Teil das man eine SMS mit einem Binärcode erstellen kann der auf das OS zugriff hat (oder zumindest die Simkarte!) der interessiert mich.
Denn wenn es so wäre wie in der news beschrieben müsste ich ja per SMS jede Art von Binärcode ausführen lassen können auf fremden Geräten, oder? Da wären doch sicher schon vorher Meldungen bekannt geworden.

Der Grund warum ich Frage ist das ich ja jahrelang bei einem großen Mobilfunker als Technischer Verantwortlicher gearbeitet habe bis Anfang des Jahres und noch nie dergleichen gehört habe. Selbst bei den config SMS muss der User selbst die zustimmung erteilen und mir ist nicht klar wie das genau funktionieren soll aber mal schaun vielleicht kommen noch nähere Infos.

 

[MilchKuh Trude]

Ich wuerde fast wetten, dass gerade bei aelteren Handynutzern noch zig Karten aus den 90ern im Umlauf sind.

 

[vander]

... das ich ja jahrelang bei einem großen Mobilfunker als Technischer Verantwortlicher gearbeitet habe bis Anfang des Jahres und noch nie dergleichen gehört habe. ...

Ja, wundert mich nicht. Das hört man von den Hotlinern der Telkos auch immer "noch nie dergleichen gehört".


Nicht jede Art von Binärcode. Der Code muß zur SIM passen und signiert sein, sonst könnte da ja jeder ... und nicht nur der Service.
Ich tippe mal das die direkte Ausführung vonm Binärcode auf der SIM nicht geplant war, sondern über ein Exploit bewerkstelligt wurde.

 

[sHx.Shugo]

Es müsste eine Möglichkeit geben die Simkarte per Code an eine IMEI zu koppeln (Code bekommt Simkartenbesitzer von Hotline bei Abfrage von persönlichen Daten ect), oder die ID mithilfe der PUK2 ect zu einem HASH-Wert verschlüsseln. Denke mal sobald dort entsprechende Nachfrage aufkommt, werden sich nen paar schlaue Köpfe da Gedanken drum machen.

Wenn ich mich nicht ganz irre wird das in Japan seit eh und je ziemlich genau so gemacht.
Beim japanischen Anbieter NTT DoCoMo kannst du die SIM-Karte (FOMA UIN-Card) nur in dem Gerät verwenden das du dazu gekauft hast bzw. in dem sie als aller erstes betrieben wird. Willst du deine FOMA von deinem Gerät trennen musst du erst in einen DoCoMo-Shop, dort werden dann die Personalien mit der Datenbank abgeglichen und wenn alles passt darfst du nochmal 3.150¥ (ca. 24€) dafür zahlen.

Das ganze hat allerdings auch einen kleinen Nachteil. Die Geräte von NTT DoCoMo funktionieren nur mit SIM-Karten von NTT DoCoMo. Man kann Geräte die ab April 2011 verkauft werden/wurden zwar für andere SIM-Karten entsperren lassen so dass man sie auch mit Simyo, Fyve, T-Mobile usw benutzen kann, aber da man als Deutscher nicht bei NTT DoCoMo als eigentüber des Geräts eingetragen ist und es auch keine DoCoMo-Shops in DE sind wird das entsperren extrem schwer bis unmöglich...leider^^

 

[Painkiller72]

Es ist immer wieder das gleiche.Kaum werden Sicherheitslecks einer Technik aufgedeckt,dementieren Anbieter das ihre nicht davon betroffen ist.Immer schön den Unschuldsengel spielen.

Wann wird auch der letzte Mensch auf der Welt hier verstehen, das es mit der neuen Technik noch schlimmer wird als es früher schon war ?

"Das Leben der anderen" war und ist noch immer die knallharte Realität des Alltages,egal ob Terroristverdächtig oder artiger Bürger.

 

[terraconz]

Ja, wundert mich nicht. Das hört man von den Hotlinern der Telkos auch immer "noch nie dergleichen gehört".


Nicht jede Art von Binärcode. Der Code muß zur SIM passen und signiert sein, sonst könnte da ja jeder ... und nicht nur der Service.
Ich tippe mal das die direkte Ausführung vonm Binärcode auf der SIM nicht geplant war, sondern über ein Exploit bewerkstelligt wurde.

Das die an der service line nicht davon wissen ist klar das sind ja keine techniker sondern Leute die von der Strasse geholt nach einer 6 Wochen boarding time an die line gesetzt werden, das sowas keine genies hervor bringt sollte klar sein. Aber für 1 und 2 level support sind die völlig ausreichend und alles was sie nicht lösen kam dann sowieso zu uns (Operations).

Das es ein exploit ist steht ja in der news, was ich meinte ist wie soll das unbemerkt vom nutzer geschehen?
Das ist mir noch unklar.

 

[Haudrauff]

Ich gebs auf.
Hier ne Sicherheitslücke, dort die nächste.
Alle 2 Tage ne News über einen Hackerangriff bei dem Millionen von Passwörter für dies und jenes geklaut wurde.
Mein PC hängt sowieso garantiert in 5 verschd. Botnetzten.
Der NSA überwacht jede meiner Verbindungen.
Dann noch ne News die besagt dass meine Simkarte nicht mehr sicher ist.
Egal. Mein Handy bekommt eh kein Update für Andoid 4.xx, weils schon 2 Jahre (!) alt ist.
Also wozu soll ich mich noch wehren bzw wozu soll ich mich stundenlang hinsetzten und versuchen meine Systeme sicher zu halten?
In Zukunft werden wir am besten unsere Überweisungsträger wieder mit Papier und Stift ausfüllen und persönlich bei der Bank abgeben.
Amazone und co werden eingestampft und ich geh wieder ins Kaufhaus vor Ort, obwohls da nicht mal 1% des Angebots gibt.
Zu guter letzt kauf ich mir ein Telefon mit Wählscheibe und gut ist.

Tolle neue Computerwelt, in der alles so viel einfacher ist.



PS: Irgendwie vermisse ich grad meine Jugend, in der ich ohne jegliches technisches Gerät außer Taschenlampe und Ferngesteuertes Auto, irgendwo in der Pampa ohne Wissen der Eltern in einem dreckigen Bach einem Staudamm gebaut habe.
Und der einzige Beweis für den Staat meiner Existenz war, dass ich Kindergeld bezog.

 

[beckenrandschwi]

Sehr alte Sim Karten... hmm, meine ist noch aus Ende der 90er Jahre. Aber das Handy ist auch schon 7 Jahre alt. Betrifft mich das jetzt auch?

 

[Marco^^]

ich hab mir angewöhnt auch mal in die englische Version eines Wikipedia Eintragen zu schauen.

Vergleicht doch mal selbst die beiden Artikel.

http://de.wikipedia.org/wiki/SIM_Karte DE
Subscriber identity module US
Subscriber identity module*security US
IMSI-Catcher DE
IMSI-catcher US

 

[terraconz]

....
PS: Irgendwie vermisse ich grad meine Jugend, in der ich ohne jegliches technisches Gerät außer Taschenlampe und Ferngesteuertes Auto, irgendwo in der Pampa ohne Wissen der Eltern in einem dreckigen Bach einem Staudamm gebaut habe.
Und der einzige Beweis für den Staat meiner Existenz war, dass ich Kindergeld bezog.

Geburtsurkunde? Meldezettel? Personalausweis? Führerschein?
Früher wurden wir genauso überwacht sogar noch viel schlimmer (Zeiten des cold war) das einzige was sich geändert hat ist das sich anderer Mittel der Informationsbeschaffung bedient wird. Für die Nachrichtendienste ist es natürlich um einiges kosten effektiver wenn sie einfach auf deinem PC Zieldaten stehlen können als wenn sie, wie in Zeiten des Kalten Krieges, eine Agentin/ten auf dich ansetzten müssen die dein Vertrauen gewinnen muss um dann die Daten zu kopieren. Ich erinnere nur an Günther Giom , STASI, Organisation Gehlen oder Abhöranlagen in Stammheim.... es gab all das schon früher es waren nur antikere Mittel die zum Einsatz kamen.

 

[blockx]

Ich wuerde fast wetten, dass gerade bei aelteren Handynutzern noch zig Karten aus den 90ern im Umlauf sind.

SIM-Karten die älter sind als 11 Jahre sind betroffen.
o2-Kunden werden - wenn es geklärt ist - kostenfrei eine neue SIM zugeschickt bekommen.

Dank Micro-SIM ist eure Karte sicher jünger als 11.
Fragt mal zu Not bei eurem Anbieter nach ob ihr eine USIM habt.

 

[Amusens]

stille SMS .....was soll den sowas?
Was mir letztens aufgefallen (nutze das Handy sehr selten) wenn ich einen Anrufen kann ich nur kurz sehe Bedingte Weiterleitung wird wohl zum Geheimdienst weiter geleitet?
So wie ich lesen konnte sind nur Smartphones betroffen....so olle 08/15 Handys wohl nicht oder doch?

 

[UsarXF]

So wie ich lesen konnte sind nur Smartphones betroffen....so olle 08/15 Handys wohl nicht oder doch?

Das hat nichts mit dem Gerät zu tun. Die SIM-Karte wird quasi gehijacked und der Angreifer kann sich dazwischenschalten. Das ist vom Prinzip her eine Art SIM-Man-in-the-Middle-Attacke und ob du nun einen Uralt-Motorola-Knüppel oder das aktuelle iPhone hast, ist dabei egal.

 

[Amusens]

oh je ist man den vor nichts mehr sicher..danke für die Info

Das waren echt noch Zeiten mit Walkman mit Kasette aufn Schulhof oder Im Wald am Bach einen Staudamm bauen und sich im Dreck sulen Weils Spaß macht.....Die einzige Überwachung die es gab war ein Ferngals von den Eltern dem konnte man sich entziehen wenn man Tiefer in den Wald gegangen ist um ne Zigarre zu Rauchen