Eine Schwachstelle in 1 Milliarde SIM-Karten würde es Hackern ermöglichen, die Kontrolle über Telefone zu übernehmen und alles auszuspionieren, was der Nutzer tut
Eine Textnachricht genügt, um praktisch jedes Mobiltelefon mit einer SIM-Karte, aber auch andere Geräte mit einer Telefonkarte auszuspionieren. Und jemand tut es bereits, im Auftrag von Regierungen und Geheimdiensten, die bestimmte Personen ausspionieren müssen.
Dies ist die Warnung des Sicherheitsunternehmens AdaptiveMobile Security, das herausgefunden hat, dass etwa eine Milliarde SIM-Karten von mehr als mehreren Betreibern in über dreißig Ländern weltweit mit der Methode "SimJacker" angegriffen werden können. Damit SimJackerr aktiv werden kann, müssen Sie keine Anwendungen installieren oder sich mit infizierten Websites verbinden, keine Viren, Trojaner oder andere Malware herunterladen: Sie müssen lediglich eine SMS an jemanden senden, der Sie ausspionieren will, und schon ist Ihre gesamte Kommunikation nachvollziehbar. Der Nutzer merkt nichts und hat leider keine wirkliche Möglichkeit, sich wirksam zu schützen, da das Problem von den Telefonbetreibern gelöst werden soll.
Wie SimJacker funktioniert
Nach Angaben von AdaptiveMobile Security ist der SimJacker-Angriff auch nicht allzu schwer durchzuführen: Man braucht nur ein GSM-Modem, um eine SMS mit ausführbarem Code zu versenden. Diese Codes werden dann von der S@T-Browser-Komponente (SIM Application Toolkit, das in den SIM-Karten der meisten Betreiber enthalten ist) ausgeführt, wodurch die Infektion ausgelöst wird.
Zu diesem Zeitpunkt hat der Hacker praktisch die volle Kontrolle über das angegriffene Smartphone: Er kann den IMEI-Code auslesen, das Gerät geografisch orten, es zum Versenden von Nachrichten verwenden und vor allem das angegriffene Telefon dazu zwingen, ohne Wissen des rechtmäßigen Besitzers des Smartphones einen Anruf an das Telefon des Angreifers zu tätigen.
Eine Milliarde Nutzer in Gefahr: So schützen Sie sich
AdaptiveMobile Security ist davon überzeugt, dass es bereits mindestens ein privates Unternehmen gibt, das SimJacker seit mindestens zwei Jahren verwendet, um eine kleine Anzahl von Nutzern auszuspionieren. Der Anstifter soll eine oder mehrere ausländische Regierungen sein. Die Schwachstelle betrifft weltweit mindestens eine Milliarde SIM-Karten, und es ist fast unmöglich, sie zu verteidigen.
Theoretisch könnten die Telefonbetreiber zentralisierte Sicherheitslösungen einführen, die einen Angriff von außen verhindern. Diese Lösungen sind jedoch noch nicht beschlossen oder umgesetzt worden. In der Zwischenzeit könnte der Nutzer verlangen, dass die SIM-Karte durch eine neue Karte ersetzt wird, die nicht mit der S@T-Browser-Komponente ausgestattet ist, aber die Betreiber sind nicht unbedingt auf einen solchen Fall vorbereitet.