So einfach lassen sich SMS mitlesen
Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.
by Moritz TremmelMit dem SMS-Nachfolger RCS (Rich Communications Services) werden auch klassische SMS und Anrufe über das Internet verteilt. Nutzer müssen sich für den Dienst nicht registrieren, sie erhalten im Hintergrund eine Konfigurationsdatei mit einem Passwort von ihrem Mobilfunkanbieter. Doch auch Angreifer können an diese Datei können gelangen und anschließend die SMS und Telefonanrufe von ahnungslosen Nutzern mitlesen oder in deren Namen versenden - für immer. Denn das in der Konfigurationsdatei zugeteilte Passwort können die Nutzer nicht ändern. In Deutschland setzen Telekom und Vodafone das System bereits ein, Telefónica hat es bereits aufgebaut, aber noch nicht im Einsatz.
Die Sicherheitsforscher Luca Melette und Sina Yazdanmehr von der Sicherheitsfirma SRLabs zeigen gleich mehrere Wege, wie Angreifer an die Konfigurationsdatei gelangen können. Ein Angreifer muss nur einmal an die Datei gelangen, um anschließend dauerhaft über das Internet auf die SMS des Nutzers zugreifen zu können. Angreifer könnten sogar pro SMS auswählen, ob sie dem Mobilfunkunternehmen ein Acknowledgement schicken, dass sie die SMS erhalten hätten oder nicht, erklärt Karsten Nohl von SRLabs Golem.de.
Schickt der Angreifer das Acknowledgement, bekommt der Nutzer die SMS nie zu Gesicht, schickt er es nicht, wird die SMS klassisch an den Nutzer zugestellt. Auf diese Weise lässt sich beispielsweise unbemerkt eine Zwei-Faktor-Authentifikation per SMS aushebeln oder mTANs von Banken abgreifen. Zudem werden viele Apps und Messenger über die Telefonnummer authentifiziert und etliche Internetdienste ermöglichen das Zurücksetzen des Passwortes per SMS. So können beispielsweise E-Mail-Konten übernommen werden - und über das E-Mail-Konto weitere Dienste.
Die Konfigurationsdatei abgreifen
Die Sicherheitsforscher von SRLabs entwickelten gleich mehrere Angriffsmethoden, um an die Konfigurationsdatei zu gelangen. Manche Mobilfunkunternehmen lieferten die Konfigurationsdatei nur an die dem Smartphone zugeteilte IP-Adresse aus, erklärt Nohl. Das ermögliche allerdings jeder App auf einem Smartphone, die Konfigurationsdatei abzugreifen. "Wird die Internetverbindung geteilt, beispielsweise über einen mobilen Hotspot, erhalten auch alle Geräte im Hotspot die gleiche IP-Adresse - und können so an die Konfigurationsdatei gelangen" sagt Nohl.
Ein weiteres Angriffsszenario funktioniert über einen WLAN-Access-Point. Ruft ein Nutzer eine beliebige Webseite über diesen Access Point auf, kann ein Angreifer ein Javascript in die Webseite einbetten und an den Nutzer schicken. Anschließend beendet der Angreifer die WLAN-Verbindung. Fällt der Nutzer dadurch auf die Mobilfunkverbindung zurück, kann das Javascript die RCS-Konfigurationsdatei anfordern und an den Angreifer senden.
Bei einem der weltweit 80 getesteten Anbieter sei es sogar möglich gewesen, das nur sechstellige Passwort per Brute-Force-Angriff, also das Durchprobieren aller Passwortkombinationen, zu knacken. Neben einem Brute-Force-Schutz raten die Sicherheitsforscher zu einer Authentifizierung über die SIM-Karte und nicht per zugeteiltem Passwort.
Sicherheitsprobleme bei einer Milliarde Nutzern
"Oft wird nicht bedacht, dass 4G und 5G gar keine klassischen Telefonanrufe mehr unterstützen", erklärt Nohl. Mit RCS wurden SMS und Telefonie auf eine Internetverbindung portiert. Die Technik führe momentan zu Sicherheitsproblemen bei den rund einer Milliarde Nutzern weltweit, erklärt Nohl.
Erst im September wurden zwei Angriffe auf SIM-Karten bekannt, mit welcher mit präparierten SMS unbemerkt Schadcode auf der SIM-Karte ausgeführt werden kann. Mit diesem lässt sich beispielsweise der Standort des Telefons auslesen und per SMS an einen Angreifer schicken. SIM-Karten in Deutschland, Österreich und der Schweiz sollen jedoch nicht betroffen sein.