Heise: Telefonie-Standard ASN.1 fehlerhaft implementiert

  • Hallo zusammen,


    ich weiß nicht, ob die Tragweite dieses Themas schon angekommen ist. Man ist ja schon etwas abgestumpft von den (gefühlt) täglichen Meldungen über Sicherheitsprobleme.
    Natürlich gibt es gewisse Einstiegshürden für kriminelle oder institutionelle "Nutzer", um diese Sicherheitslücke auszunutzen (nicht jeder hat einen IMSI-Catcher zur Verfügung, aber eine präparierte App ist schon eher einzuschleusen). Ich bin fast sicher, wir werden noch "interessante" Dinge erleben - oder sie sind seit langem im Gange.
    "Pseudo"- (Android) oder echte OpenSource-Betriebssysteme (gibt's das JollaPhone mit Sailfish OS noch, oder ist es untergegangen ?( ) bieten keine Sicherheit, weil das GSM-Modul betroffen ist, und das ist immer hard- und softwäremäßig "closed". Ein Update der Firmware ist sicher nicht trivial. Das klappt ja schon beim Betriebssystem nicht. Auf meinem Firmenhandy läuft seit Ewigkeiten ein Android 4.1.2...
    Ich frag mich jetzt nur, ob auch mein "dummes" Nokia 100, das eigentlich gar nichts außer Telefonieren und SMS kann, betroffen sein könnte - vermutlich ja. Und wenn, dann ist die Hoffnung auf ein Update mit Sicherheit vergebens.
    Der o.g. Artikel wird ja teilweise ziemlich verrissen, wie so oft, aber ich denke, der Kern, also die Bedrohung, ist real.


    Grüße,
    muzel

  • Hallo muzel,


    der Androide ist für mich "von Hause aus" ein unsicheres Betriebssystem. Ich stufe dessen Sicherheit gemeinsam mit dem "guten alten" XP auf gleiche Stufe ein. Mit dem Unterschied, dass man als Auskenner XP ja wenigstens noch ein klein wenig "härten" konnte. (Jetzt macht das allerdings auch keinen Sinn mehr!)


    Auch wenn das eigentlich jeder der es wirklich wissen will weiß, so will niemand auf sein Spielzeug verzichten. Auch ich nicht!
    Also entweder nutzen - oder sein lassen.


    Und wenn wir unsere Geräte nutzen wollen, dann bleibt uns nur, dieses verantwortungsvoll zu tun.
    Also keine sensiblen Daten darauf speichern, keinen Zugang per VPN in sensible Bereiche darüber betreiben, die integrierte Verschlüsselung nutzen (auch wenn damit das bei manchen Menschen "notwendige" Spielen keine Freude mehr macht), bei den zu installierenden Apps zuerst gründlich nachdenken und dann erst installieren oder besser darauf verzichten usw.


    Klar, das Problem mit dem ASN.1 lässt sich damit nicht umgehen, aber es wird garantiert "genutzt" werden.


    Sei es wie es sei, mein gutes altes Samsung Galaxy S3 wird so lange laufen, wie es eben läuft. Und der Nachfolger wird wieder andere Schwachstellen haben. Der Gockel und die üblichen Schnüffler kommen immer rein.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,

    gibt's das JollaPhone mit Sailfish OS noch, oder ist es untergegangen

    Das Jolla Phone gibt es derzeit nicht mehr. Ich bin recht froh, dass ich vor knapp einem Jahr noch ein Jolla bekommen habe. Sailfish OS lebt aber noch, auch für das Jolla Phone. Es gibt auch ein, zwei kaum bekannte Hersteller, die Geräte mit Sailfish vertreiben. Das habe ich aber nicht weiter verfolgt.
    Für mein "altes" Jolla bekomme jedenfalls nach wie vor automatische Updates und auch Beta-Releases. Ein sehr wohltuender Unterschied zu Android.


    Aus dem Artikel:


    Zitat


    Angriffsszenario
    Doch um die Infrastruktur eines Mobilfunk-Anbieters oder ein Smartphone zu attackieren, bräuchte man Zugang zu dessen Netz. Ein Angreifer müsste also im Wesentlichen eine eigene Sendestation in diesem Radius betreiben, die manipulierte Daten an die Mobilfunkstationen oder an das Smartphone schicken kann.


    Da bleibe ich dann doch entspannt.


    Gruß


    Susanne

  • Da bleibe ich dann doch entspannt.

    Ich habe mal bei Wikipedia nachgeschaut:


    Mit einem Aufwand von ca. 1500 Euro[10] oder mindestens 200–300 Euro[11] ist es möglich, einen IMSI-Catcher selbst zu bauen.

    Der finanzielle Aufwand ist also überschaubar. Die kriminelle Energie und das technische Wissen finden sich sicher auch.

  • Ob ein ein solcher Krimineller mir wohl den ganzen Tag mit seinem Sender hinterherlaufen mag? ;)


    Spaß beiseite, mit ASN.1 kenne ich mich überhaupt nicht aus. So ein Angreifer müsste aber nicht nur investieren, er müsste sehr versiert sein. Seine Reichweite betrüge nur wenige Kilometer und die "Halbwertszeit" ist begrenzt. Und selbst wenn er

    Zitat

    Im schlimmsten Fall [...] unter Umständen aus der Ferne ohne Authentifizierung in bestimmten Teilen von Systemen eigenen Code ausführen

    könnte, dann müsste er nach meinem Verständnis entweder großes Glück haben, dass gerade etwas wichtiges unverschlüsselt über das Gerät geht, oder er müsste seinen Code persistent machen. Das wiederum würde wohl das Ausnutzen einer weitere Sicherheitslücke erfordern.

    Einmal editiert, zuletzt von SusiTux () aus folgendem Grund: Tippfehler korrigiert