Bei der Black Hat Sicherheitskonferenz in Las Vegas konnte der Sicherheitsexperte für mobile Technologien Karsten Nohl aus Berlin den heiligen Gral der mobilen Sicherheit präsentieren. Nohl hatte es Anfang des Jahres geschafft, einen Fehler in älteren Generationen von SIM-Karten auszunutzen. Mit diesem Hack können Cyberkriminelle nicht nur auf die auf der SIM-Karte gespeicherten Daten zugreifen. Vielmehr kann durch die Sicherheitslücke die Kontrolle über das Telefon vollständig übernommen werden.

Von umgeleiteten Anrufen über abgefangene Nachrichten bis hin zum Mithören von Gesprächen kann durch den SIM-Karten-Hack ein Handy vollständig von Fremden kontrolliert werden. Diese Kontrolle erstreckt sich aber nicht nur auf Ihre Anrufe. Auch ein Bezahlungsbetrug durch eine Kontrolle Ihres Telefons wäre denkbar. Mithilfe eines Computers haben Hacker mit der Malware die Möglichkeit, per Telefon Rechnungen zu begleichen und Finanzbetrug vorzunehmen.

Für den Hack wird eine SMS an die SIM-Karte geschickt, die der Endnutzer gar nicht erhält, die aber die SIM-Karte dazu veranlasst, einen Code zurückzusenden, welcher mit einiger Entschlüsselung den 56-stelligen Identifikationscode der SIM-Karte freigibt. Mit diesem kann die SIM-Karte nicht nur dupliziert werden, wie es vorher schon möglich war. Vielmehr kann die bestehende SIM-Karte manipuliert werden.

Glücklicherweise ist Karsten Nohl ein sogenannter White Hat Hacker. Also ein solcher, der zwar Fehler und Probleme mit neuen Technologien sucht und versucht, Systeme zu knacken. Jedoch benutzt er die Ergebnisse, um die Computer- und Mobiltelefonindustrie zu warnen und zu schützen. Als Nohl den Hack Anfang des Jahres entdeckte, gab er sofort den Mobilfunkbetreibern Bescheid. Diese sollten ihre SIM-Karten sofort überprüfen und gegebenenfalls ein Sicherheitsupdate vornehmen, welches ein kriminelles Eindringen verhindert.

Bei der Black Hat Sicherheitskonferenz in Las Vegas einige Monate später konnte Nohl bei seiner Präsentation seinen entdeckten Hack schon nicht mehr live präsentieren. Aufgrund seiner frühen Warnungen konnten alle großen Mobilfunkbetreiber weltweit ihre SIM-Karten schützen.

Insgesamt dürften 500 Millionen SIM-Karten davon betroffen (gewesen) sein. Ein Problem sind SIM-Karten von Telefonbetreibern in ärmeren Ländern. Hier werden teilweise die anfälligen Karten noch verkauft.

Artikel von heise: heise.de, 21.07.2013: DES-Hack exponiert Millionen SIM-Karten
Artikel von nbcnews.com, 31.07.2013: Hacking expert says mobile firms moved fast to fix security flaw