Sicherheitslücken: So unsicher sind Scanner und Smartphones

Sicherheitslücken: So unsicher sind Scanner und Smartphones

Zu Beginn ihres jährlichen Treffens zeigen Hacker des Chaos Computer Clubs wieder einmal, wie leicht sie Techniken des Alltags überwinden können. Damit stellen sie auch Unternehmen bloß, die Sicherheit anpreisen.

Hacker des Chaos Computer Clubs (CCC) haben zu Beginn ihres jährlichen Treffens mehrere Sicherheitslücken in verbreiteter Technologie öffentlich gemacht. Fingerabdruck-Scanner und Technik zur Gesichtserkennung lassen sich überlisten, wie der Experte Jan Krissler nachwies. Er schaffte es, einen Fingerabdruck von Verteidigungsministerin Ursula von der Leyen von einem Foto zu kopieren.

Den Daumenabdruck habe er mit Hilfe einer Software erstellt und wolle ihn auch online veröffentlichen, sagte Krissler am Samstagabend auf dem Chaos Communication Congress 31C3. Für so eine Kopie eines Fingerabdrucks genüge ein Handyfoto. „Wenn die Lichtbedingungen halbwegs stimmen, ist das kein Problem.“

Anzeige

Für die Gesichtserkennung reicht ein Foto

Was man damit potenziell machen kann, zeigte Krissler mit einem anderen Fingerabdruck: Mit einer aus Latex hergestellten Fälschung konnte er einen Fingerabdruck-Sensor überwinden. Er knackte bereits den Fingerabdruck-Sensor von Apples iPhone. Um eine Software zur Gesichtserkennung zu umgehen, reichte schon ein ausgedrucktes Foto. „Iris-Erkennung ist jetzt wahrscheinlich endgültig kaputt“, sagte Krissler.

Der Sicherheitsforscher Karsten Nohl und der Mobilfunk-Experte Tobias Engel zeigten Schwachstellen in einer Technologie im Handynetz UMTS auf. Die Lücken ermöglichen das Abhören von Anrufen, ein Mitlesen von SMS und die Ortung von Personen weltweit, wie die beiden Fachleute in ihren jeweiligen Vorträgen am Samstagabend sagten.

Die Abhörsicherheit deutscher Mobilfunkanbieter

  • T-Mobile

    Abhörsicherheit: 58 Prozent (von maximal möglichen 100 Prozent)

    Quelle: Security Research Labs

  • Vodafone

    Abhörsicherheit: 44 Prozent (von maximal möglichen 100 Prozent)

  • E-Plus

    Abhörsicherheit: 33 Prozent (von maximal möglichen 100 Prozent)

  • O2

    Abhörsicherheit: 19 Prozent (von maximal möglichen 100 Prozent)

Schuld daran ist ein Protokoll namens SS7. Über SS7 kommunizieren die Telekommunikationsunternehmen. So wird unter anderem für eine korrekte Weiterleitung der Anrufe gesorgt. Doch das Protokoll ist unzureichend gesichert, wie Engel zeigte. So können auch Hacker oder Spione abfragen, an welchem Ort sich ein Handynutzer mit einer bestimmten Handynummer befindet.

Zehn Tipps: Wie Sie ihr Smartphone schützen

  • Umgang mit Rufnummern

    Seien Sie vorsichtig bei der Weitergabe Ihrer Handynummer. Schreiben Sie diese nicht auf Ihre Visitenkarte.

  • Abhörschutz

    Das Telefonieren über Mobilfunknetze mit dem GSM-Standard ist nicht abhörsicher. Führen Sie Gespräche mit vertraulichen Inhalt deshalb nicht über das Handy.

  • Zugangsschutz

    Nutzen Sie Tastatursperre und Gerätesperrcode und wechseln Sie diese Passwörter in regelmäßigen Abständen.

  • Drahtlose Schnittstellen

    Deaktivieren Sie grundsätzlich alle drahtlosen Schnittstellen wie zum Beispiel WLAN oder Bluetooth-Zugänge, wenn diese nicht benötigt werden.

  • Öffentliche Hotspots

    Nutzen Sie öffentliche Hotspots mit erhöhter Vorsicht. Vermeiden Sie sensitive Anwendungen wie Online-Banking in nicht vertrauenswürdigen Hotspots.

  • Ständige Kontrolle

    Lassen Sie Ihre mobilen Geräte nie aus den Augen und verleihen Sie Ihre Smartphones auch nicht. Manipulationen lassen sich in wenigen Sekunden vornehmen.

  • Gute Apps

    Installieren Sie Apps nur aus vertrauenswürdigen Quellen. Viele verlangen weitreichende Zugriffsrechte auf sensible Daten und Funktionen. Prüfen Sie, ob diese Zugriffsrechte zum Nutzen der App wirklich nötig sind.

  • Sicherheits-Updates

    Achten Sie darauf, dass es Sicherheits-Updates für Ihr Betriebssystem und die installierte Software gibt.

  • SIM-Karte

    Lassen Sie bei Handy-Verlust Ihre SIM-Karte sofort sperren.

  • Verkauf und Entsorgung

    Normales Löschen vernichtet in der Regel nicht alle Daten. Die Speicher müssen vor einem Verkauf oder Entsorgung physikalisch überschrieben werden.

Außerdem kann ein Angreifer ein Telefonat im Hintergrund an sich selbst weiterleiten, bevor er es an das ursprüngliche Ziel schickt. „Es gibt Berichte, dass das ausgenutzt wird“, sagte Engel der Deutschen Presse-Agentur. Ein ukrainischer Anbieter habe solche Weiterleitungen in seinem Netz bemerkt.

Weitere Artikel

Vodafone und Deutsche Telekom hatten schon zuvor auf Berichte über die Schwachstellen reagiert und sie in ihren Netzen geschlossen. Auch Telefonica mit O2 und E-Plus unternahm Maßnahmen gegen die Lücke.

Auch am Sonntag sollte es in Vorträgen um sichere Kommunikation und Lücken in verbreiteten Computer-Programmen gehen. Im vergangenen Jahr kamen mehr als 9000 Besucher zu dem Kongress, diesmal wurden noch mehr Teilnehmer erwartet. Bis Dienstag sollen mehr als 200 Redner sprechen, dazu gibt es Hunderte Mitmach-Angebote.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%