Menü
Security

"Witzbold" prahlt mit Smartphone-Hack via QR-Code

vorlesen Drucken Kommentare lesen 125 Beiträge

Ein angeblicher Hacker mit dem Pseudonym The Jester (englisch für Narr, Witzbold) behauptet, er habe durch Sicherheitslücken auf Smartphones Mitglieder der Terror-Organisation Al-Quaida und des Aktivisten-Netzwerks Anonymous ausspioniert. Beim genaueren Hinsehen entpuppt sich das ganze jedoch als Bluff.

The Jester will durch einen via QR-Code verbreiteten Link hunderte Smartphones kompromittiert und dann gezielt bei bestimmten Personen unter anderem Adressbücher, SMS-Logs und E-Mails gestohlen haben. Möglich gemacht habe dies eine Sicherheitslücke in der WebKit-Engine der Webbrowser von iOS und Android. Angeblich gelang es ihm so, innerhalb von fünf Tagen 500 von 1200 Besuchern der präparierten Seite zu kompromittieren und persönliche Daten von einer nennenswerten Zahl von Aktivisten zu stehlen.

Allerdings sind die Details seiner technischen Erklärungen recht unglaubwürdig. Die angeblich ausgenutzte Sicherheitslücke CVE-2010-1807 ist bereits seit Herbst 2010 bekannt und wurde von den meisten Herstellern kurz darauf geschlossen. Das passt nicht zu der behaupteten Erfolgsquote von über 40 Prozent aller Besucher. Außerdem soll angeblich ein einziger Exploit mehrere Versionen von iOS und Android gleichzeitig angreifen und dabei auch noch deren Sicherheitsmechanismen umgehen. Wahrscheinlicher ist es da schon, dass The Jester Psychospielchen mit seinen Feinden spielt.

Der Sicherheitsexperte Georg Wicherski meldet ebenfalls Zweifel an: "The Jesters Exploit kann unter Android 2.3 nicht wie von ihm behauptet funktionieren. Ich zweifle daran, dass der Code überhaupt zuverlässig funktioniert hat." Außerdem handele es sich bei dem von The Jester vorgelegten Exploit-Code um eine Kopie einer öffentlich verfügbaren aber nicht funktionsfähigen Demo.

Auch wenn es sich in diesem Fall wohl um einen Hoax handelt, dürften QR-Codes durch ihre zunehmende Verbreitung in der Gunst der Kriminellen steigen. So gab es im Herbst vergangenen Jahres etwa Fälle, in denen QR-Codes zur Verbreitung eines Android-Trojaners genutzt wurden ("Attagging"). (rei)