In jedem Handy, jedem Smartphone und vielen Tablets steckt eine SIM-Karte. Sie sorgt dafür. dass das jeweilige Gerät Kontakt mit dem Mobilfunknetz herstellen kann. Was in so einer SIM-Karte gespeichert ist und was dort vor sich geht, darüber macht sich kaum jemand Gedanken – es funktioniert einfach. Jetzt wurde eine Sicherheitslücke in vielen SIM-Karten entdeckt: Aufgrund eines mangelhaften Verschlüsselungsverfahrens ist es möglich, SIM-Karten zu kapern und dann Schaden anzurichten, etwa indem kostenpflichtige SMS verschickt oder Bezahlsysteme aufgerufen oder manipuliert werden.

Um ein Handy zu kapern, muss eine SMS verschickt werden, die den Eindruck erweckt, vom jeweiligen Provider zu sein. Die SMS enthält im Gerät auszuführenden Code – und knackt das System. Danach lässt sich das Handy oder Smartphone fernsteuern. Um das zu erreichen, ist zwar ein gewisser Aufwand nötig, aber machbar ist das eben schon. Bislang wird das Sicherheitsleck nicht ausgenutzt. Aber die Zeit drängt: Experten rechnen damit, dass spätestens in sechs Monaten Kriminelle den Trick anwenden. Deshalb arbeiten alle Mobilfunkprovider an einer Lösung des Problems.

Betroffen sind ältere SIM-Karten, die noch ein DES-Verschlüsselungsverfahren verwenden. Das soll auf rund die Hälfte aller im Umlauf und Gebrauch befindlichen SIM-Karten zutreffen, immerhin eine halbe Milliarde Karten. In neueren SIM-Karten wird zwar bereits 3DES zur Verschlüsselung eingesetzt, aber auch dieses System ist nicht wirklich sicher. Deswegen rüsten die SIM-Karten-Hersteller derzeit auf AES um, solche SIM-Karten können bislang noch nicht gehackt werden. Moderne Micro- und Nano-SIMs sind nicht betroffen, sie verwenden ein sicheres System.

Smartcard chip structure and packaging EN

3 Kommentare
  1. Jörg Schieb
    Jörg Schieb sagte:

    Hallo, was will ins das sagen? Theoretisch können teure Premium-SMS verschickt werden.

  2. Bauernfünfer
    Bauernfünfer sagte:

    Nur mal zur Erinnerung: Man kann keine SMS (= Short Message Service) verschicken, sondern nur eine Nachricht per SMS.
    „Wenn 50 Millionen Menschen etwas Dummes sagen, bleibt es trotzdem eine Dummheit. “
    (Anatole France)

  3. Mig
    Mig sagte:

    Interessante Meldung! 2009 wurde bereits eine Technik demonstriert, mit der man z.B. beim iOS mit einer SMS Code zur Ausführung einschleusen konnte. Sprich das Einzige was ein Angreifer benötigte war die Handynummer und einen Empfänger der die SMS Nachricht las. Diese Lücke dürfte mittlerweile geschlossen sein, doch offensichtlich ist einmal wieder eine andere aufgetaucht. Ich kann nur immer wieder warnen seine Handynummer nicht breit im Internet zu streuen und bei jedem Pillepalle-Portal zu hinterlegen.

Kommentare sind deaktiviert.