Hacker brauchen nur Telefonummer, um Handynutzer auszuspähen

19. April 2016, 09:01
25 Postings

Sicherheitslücke im SS7-Protokoll – Zwielichtige Unternehmen bieten Überwachung an

Es ist eigentlich nichts Neues. Schon Ende 2014 demonstrierten Hacker auf dem Congress des Chaos Computer Clubs, dass sie mit vergleichsweise geringem Aufwand SMS-Nachrichten und Telefonate ausspähen und Handys orten können. Nun zeigten Sicherheitsexperten, dass diese Angriffe noch immer möglich sind. In einer Reportage des US-Senders CBS wurde ein Handy-Gespräche eines amerikanischen Kongress-Abgeordneten von Berlin aus abgehört.

Sicherheitslücke im SS7-Protokoll

Die IT-Experten rund um den Sicherheitsforscher Karsten Nohl von SRLabs nutzen dafür eine Sicherheitslücke im SS7-Protokoll. Dieses wird von Mobilfunkbetreibern zum automatisierten Austausch von Daten untereinander genutzt, etwa um sicherzustellen, dass die Verbindung beim Wechsel vom Netz eines Anbieters zum anderen nicht abreißt. Auch SMS werden hier abgewickelt.

Hat man Zugriff auf ein SS7-Netz, kann man einen fatalen Fehler ausnutzen: Man kann einfach den Verschlüsselungs-Key abfragen und damit abgefangene SMS oder Anrufe knacken oder Handys tracken.

Zweifelhaftes Geschäftsmodell

Eigentlich sollten Dritte auf das SS7-Netz keinen Zugriff haben. Allerdings gibt es mittlerweile aber eine Fülle an zwielichtigen Unternehmen, die solche Zugänge an Dritte untervermieten. So bieten Unternehmen an, Nutzer weltweit über ihr Handy überwachen zu lassen – der Kunde braucht lediglich die Telefonnummer seines Ziels.

Der überwachte Nutzer kann kaum etwas gegen die Überwachung ausrichten, da nicht das Handy selbst angegriffen wird, sondern sein Provider die Verwaltungsdaten an Dritte überträgt. Nach eigenen Angaben, haben die drei heimischen Netzbetreiber A1, T-Mobile und "3" ihre Netze gegen derartige Angriffe bereits abgesichert.

Es ist davon auszugehen, dass Geheimdienste, wie die NSA und sein britischer Komplize GCHQ, diese Lücke ebenfalls nutzen. (sum, 19.4.2016)

  • Um SMS und Anrufen zu knacken und Handys zu orten, benötigen Hacker nur die Telefonnummer.
    foto: ap photo/dpa, sebastian kahnert

    Um SMS und Anrufen zu knacken und Handys zu orten, benötigen Hacker nur die Telefonnummer.

Share if you care.