13.06.2005 09:45
Angriff auf Bluetooth-Handys im Regierungsviertel
Dass die Bluetooth-Implementierungen einiger Handys kritische Sicherheitslücken aufweisen, ist zwar seit längerem bekannt, aber offenbar noch nicht in alle Bevölkerungsschichten vorgedrungen. So konnte laut einem Spiegel-Bericht ein Hacker mit dem Pseudonym "Dagobert" im Berliner Regierungsviertel bei einer Rundtour mit dem Fahrrad die kompletten Telefonnummernverzeichnisse von drei Handys per Bluetooth unbemerkt auslesen. Allerdings soll es sich dabei nur um die Handys von Personenschützern gehandelt haben, in denen jedoch unter anderem die Durchwahlnummern von Kontakten bei Polizei, Bundesgrenzschutz, Kanzleramt und Verfassungsschutz gespeichert waren. Ein Politiker-Handy war im halbstündigen Testzeitraum wohl nicht in der Nähe, laut Dagobert wäre es aber nur eine Frage der Zeit gewesen, bis er auch ein solches Handy in Reichweite bekommen hätte.
Um einen erfolgreichen so genannten Bluebug-Angriff auf Bluetooth-Handys zu starten und Daten auszulesen sowie Telefonanrufe mitzuhören, ist nicht einmal mehr ein Laptop notwendig. Seit Ende des vergangenen Jahres gibt es das Tool Blooover für Symbian-basierte Handys wie etwa Nokias 6600, mit dem sich unauffällig die in der Nähe befindlichen Mobilfunktelefone penetrieren lassen. Prinzipiell lassen sich so auch E-Mails, Fotos und PIN-Codes für Bankautomaten ausspähen, wenn sie denn im Handy hinterlegt sind.
Der Schutz vor solchen Angriffen ist recht simpel: Für die verwundbaren Modelle, etwa die Nokia-Renner 6310 und 6310i sowie Sony Ericssons Kassenschlager T610, stellen die Hersteller Updates zur Verfügung. Allerdings ist es nicht immer so einfach, die Firmware zu aktualisieren. Bei Nokia beispielsweise muss dazu das Gerät vom Service eingeschickt werden. Wer diesen Aufwand scheut, sollte Bluetooth ausschalten oder wenigstens in den unsichtbaren "non-discoverable" Mode schalten.
Siehe dazu auch:
(dab)
- 21C3: Blooover demonstriert schwere Sicherheitslücken bei Bluetooth-Handys, Meldung auf heise Security
- Weitere Bluetooth-Handys gegen Hacker-Angriffe anfällig, Meldung auf heise Security
- Bluetooth-Handys ferngesteuert, Meldung auf heise Security
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
