Gastkommentar: Der SIM-Karten-Hack und der Mobilmarkt

Der Smartcard-Forscher und Verschlüsselungsexperte Karsten Nohl sorgte mit der Aussage, SIM-Karten hacken zu können, für viel Wirbel. Paul Ducklin, Head of Technology bei Sophos, kommentiert die Wahrscheinlichkeit, dass der Mobilmarkt implodiert. [...]

Was hat Nohl nun aber wirklich gefunden? Interessanterweise trommelte eine der allerersten Pre-Paper-Ankündigungen für Black Hat 2013 damit, den Android Master Key entschlüsselt zu haben. Wenig später stellte sich dann allerdings heraus, dass es sich dabei nur um eine Metapher für einen Code Verification Bypass handelte. Die Informationen von Nohl lassen nun aber tatsächlich den Rückschluss zu, dass dessen Hack per Remotezugriff kryptografisches Schlüsselmaterial von SIM-Karten abziehen kann. Das bedeutet, dass er auch in der Lage sein könnte, den „Master Key“ eines Smartphones oder Tablets zu extrahieren. Mit diesem Code könnte er eine bösartige Anwendung entwickeln und digital signieren, so dass das Zielgerät sie akzeptiert. Das ist möglich, da SIM-Karten eine Java Virtual Machine im Miniaturformat enthalten, um Java-Anwendungen auszuführen. Dieser Vorgang kann normalerweise nur vom Service-Provider vorgenommen werden, da er den benötigten Zugangsschlüssel kennt. Wenn Nohls Aussagen zutreffen, hat er in bestimmten Fällen Zugang zu diesem Schlüssel und könnte somit problemlos SIM-basierte Malware installieren. Und als wenn dies noch nicht schlimm genug wäre, scheint der Forscher noch ein zweites Sicherheitsloch gefunden zu haben, das er in Kombination mit der ersten Lücke nutzen kann. Genau genommen hat Nohl eine Schwachstelle in der Java Sandbox einiger SIM-Karten entdeckt, die es seiner Malware ermöglicht, Zugang zu Daten zu bekommen, die normalerweise abgeschirmt sind und nur von einer ganz bestimmten Anwendung, z.B. einer Bezahlsoftware, abgerufen werden können. Auf diese Weise wäre es nicht nur möglich, ein Gerät mit SIM-basierter Malware zu infizieren, sondern das Schadprogramm gleichzeitig mit Root-ähnlichen bzw. Administratorrechten auszustatten.

Bleibt noch die Frage, wie die Attacke konkret ausgeführt wird. Nach aktuellem Wissensstand scheint die Key-Recovery-Attacke auf einem kryptografischen Vorgang zu basieren, der eigentlich unumstritten ist: Durch das Versenden einer speziellen SMS können Mobilfunkbetreiber automatisch und im Hintergrund Software- oder Firmware-Updates auf der SIM-Karte aktualisieren. Diese sogenannten OTA (Over the air)-Updates nutzen den geheimen Schlüssel der SIM-Karte. Wenn dieser nicht bekannt ist, wird das Update nicht akzeptiert. Nohl fand im Rahmen seiner Untersuchungen heraus, dass einige Mobilgeräte ein automatisches Feedback versenden, wenn ein Update fehlgeschlagen ist, und dass diese Meldungen digital signiert sind. Das scheint zunächst einmal auch eine gute Idee zu sein, da so verhindert werden kann, dass potenzielle Angreifer Antworten erstellen, die dazu führen, dass der Serviceanbieter falsch über den aktuellen Status des Geräts informiert wird. Dieses Informationssystem steht und fällt allerdings mit der Tatsache, dass der umgekehrte Weg von der digitalen Signatur zum geheimen Schlüssel, der zum Berechnen verwendet wurde, nicht möglich ist. Und genau das scheint Nohl geschafft zu haben. Zumindest für einige ältere Chips, die noch eine 56-bit-DES-Verschlüsselung nutzen. Auf diese Weise könne er nun eine korrekt signierte Fehlermeldung provozieren, indem er einfach ein nicht korrekt signiertes Update an das Gerät versendet.

Wie geht die Geschichte weiter? Es scheint zunächst einmal so zu sein, dass aktuelle SIM-Karten nicht von dem Hack betroffen sind, da sie kein 56-bit-DES mehr nutzen. Um sich also gegen diese Gefahr zu schützen, reicht schon ein einfacher SIM-Karten-Wechsel aus. Auf der anderen Seite befinden sich Milliarden der betroffenen SIM-Karten im Umlauf und entsprechende Kompatibilitäts-Features machen es Nutzern leicht, ihre Geräte zu aktualisieren ohne gleich die SIM-Karte erneuern zu müssen. Deshalb könnte das Problem noch für Jahre bestehen.

* Paul Ducklin ist Head of Technology bei Sophos.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*