Schwachstelle in 2 Milliarden Geräten offengelegt

Forscher der US-Sicherheitsfima Accuvant haben auf der "Black Hat 2014"-Sicherheitskonferenz in Las Vegas eine massive Sicherheitslücke bei mobilen Geräten enthüllt. Insgesamt seinen zwei Milliarden Geräte von einer Software-Schwachstelle betroffen. Die Software wird von Andoid, Blackberry, iOS und auch Windows Phone benutzt, schreibt Heise unter Berufung auf den Konferenzbeitrag.

Nicht nur Smartphones in Gefahr

Dabei erstreckt sich das Problem nicht nur auf Smartphones allein. Auch in "mobilen UMTS-Hotspots, Autos, M2M-Komponenten oder 3G-/LTE-Modulen in Notebooks" ist die betroffene Software vDirect Mobile der Firma Redbent Software anzufinden. vDirect Mobile ist mit dem Standard OMA-DM (Open Mobile Alliance - Device Management) kompatibel, der von Netzwerkbetreibern zur Installation von Software genutzt wird. Darunter fallen "beispielsweise Firmware-Updates oder geänderte APN- und Proxy-Einstellungen", schreibt Heise weiter.

Über Man-in-the-Middle-Angriffe könnten Angreifer den Mobilfunkverkehr unbemerkt auf Proxy-Server umleiten. Dazu müssten sie nur ein starkes Mobilfunknetz aufbauen, beispielsweise über eine Femtozelle, nanoBTS oder USRP B210. Da sich mobile Geräte automatisch mit dem stärksten Netz in der Nähe verbinden, könnte die Schwachstelle relativ einfach ausgenutzt werden. Hierzu müssen die Angreifer nur noch die Geräte-ID über einen GMS-Scanner herausbekommen.

Die Forscher informierten den Hersteller Redbend über die Schwachstelle, und die Firma hat bereits ein Softwareupdate bereitgestellt. In welchem Zeitraum dieses jedoch von den Netzwerkbetreibern auf alle betroffenen Geräte eingespielt werden kann, vermochten die Referenten nicht zu sagen.