piwik no script img

taz zahl ich

Hackerkonferenz in Las VegasSicherheitslücken beim iPhone

Auf der Securitykonferenz "Black Hat" in Las Vegas stellen Hacker diverse spektakuläre Sicherheitslücken vor. Diesmal bekommen Bankkunden und Handy-Besitzer besonders auf die Mütze.

Auf der Hackerkonferenz "Black Hat" sind durchaus auch rote Hüte erlaubt. Bild: ap
Von Ben Schwan

Jedes Jahr trifft sich in Las Vegas die Creme de la Creme der IT-Sicherheitsbranche, um in der Casino-Stadt über neueste Entwicklungen zu debattieren. Die so genannte "Black Hat Briefings"-Konferenz liefert an zwei Tagen kurze Sessions, bei denen Security-Forscher neue Lücken in Internet-Infrastruktur, PC- und Mobilfunk-Hardware sowie bekannten und weniger bekannten Software-Produkten präsentieren.

Die wohl spektakulärste Vorführung in diesem Jahr fand am Donnerstagnachmittag statt: Die Hacker Charlie Miller und Collin Mulliner demonstrierten, wie sich Handys, darunter auch Apples iPhone, mit präparierten SMS-Botschaften übernehmen lassen.

Dazu benötigt der Angreifer nur die Rufnummer. Treffen die Textnachrichten ein, bringen sie die auf dem Gerät laufende SMS-Anwendung zum Absturz. In einem zweiten Schritt lässt sich das Gerät dann übernehmen, um beispielsweise das Adressbuch auszulesen, mit der Kamera ein Foto zu knipsen oder E-Mails abzurufen.

Miller rechnet mit neuartigen Handy-Würmern, die bald ihr Unwesen treiben könnten, sollte die Lücke nicht schnell geschlossen werden.

Apple und andere Hersteller sind informiert und arbeiten zwar an Lösungen - doch das Beispiel zeigt, dass die kleinen Computer in unserer Jackentasche zunehmend zum Angriffsziel werden.

Inzwischen werden Smartphones längst für sensible Anwendungen wie Bankgeschäfte verwendet, da lohnen sich Attacken für Ganoven. Dementsprechend wichtig ist es auch, die aufgespielte Software regelmäßig auf dem neuesten Stand zu halten, wie man es bislang eigentlich nur vom Schreibtischrechner her kannte.

Ebenfalls viel Beachtung fand ein anderer auf der Black Hat-Konferenz vorgestellter Hack: Das Auslesen von Geldautomaten-PINs per Stromnetz. Das von den italienischen Sicherheitsexperten Daniele Bianco und Andrea Barisani entdeckte Problem ermöglicht es, Tastaturanschläge nach dem PS/2-Standard, wie sie sich auch an vielen Bankgeräten befinden, aus der Stromnetz-Masseleitung zu rekonstruieren.

So gelang ein so genanntes Skimming, also das Abfragen von Kartendaten samt PIN, bereits an italienischen Geldautomaten. Das Gefährliche daran ist vor allem, dass Manipulationen sich so mit sehr geringem Aufwand durchführen lassen - aktuell müssen Gauner Geldautomaten noch relativ aufwändig mit Zusatz-Hardware, etwa Aufsätzen und Kameras rund um das Tastenfeld, manipulieren.

Tröstlich ist allerdings, dass das Hackergerät der italienischen Security-Forscher zum Mitlesen der PIN im gleichen Stromnetz hängen muss - an das müssten Ganoven erst einmal herankommen.

Neuerliche Attacken musste anlässlich der Black Hat auch das Web-Sicherheitsprotokoll SSL über sich ergehen lassen, mit dem etwa das Online-Banking geschützt wird. Hier zeigte ein Hacker mit Namen Moxie Marlinspike, wie sich mit einem einfachen Trick Fälschungen bekannter Domainnamen wie ebay.com oder paypal.com mit (angeblich) sicheren Zertifikaten ausstatten lassen.

Über diese könnten Phishing-Betrüger dann Zugangsdaten abgreifen, ohne dass es auffällt. Das Problem besteht mit aktuellen Browsern wie dem Internet Explorer, bereits zu 100 Prozent geschützt ist aber die jüngste Firefox Version 3.5.

Dass selbst Hacker auch mal gehackt werden können, demonstrierten bislang unbekannte Computerspezialisten an den Servern der IT-Sicherheitspromis Dan Kaminsky (entdeckte im letzten Jahr eine schwere Lücke im Internet-Adresssystem) und Kevin Mitnick (einer der bekanntesten Hacker der Welt).

Beide Maschinen wurden von außen angegriffen und Inhalte entnommen, darunter auch Passwörter - pünktlich zur Black Hat und mit Botschaften, die sich über die beiden Security-Stars lustig machten.

Zumindest Kaminsky nahm es mit Humor: "Mich wundert schon ein bisschen, dass sich irgendjemand für mein Liebesleben interessiert." Das aufgefundene Material sei vor allem "privat" gewesen, so der Sicherheitsexperte, der nach eigenen Angaben seinen Server nun besser abgesichert hat. Mitnick betonte, er habe auf seiner Maschine keine sensiblen Daten abgelegt, weswegen der Angriff nur eine kleine Peinlichkeit sei.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Feedback Kommentieren Fehlerhinweis

10 Wochen im Probeabo

taz digital + wochentaz print testen

Ob andere Parteien auch schöne Kandidaten haben, lesen Sie bei uns – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

0 Kommentare

  • Noch keine Kommentare vorhanden.
    Starten Sie jetzt eine spannende Diskussion!

meistkommentiert

1

+++ AfD-Parteitag in Riesa +++

15.000 blockieren AfD, Polizei schlägt Abgeordneten

2

Krieg in der Ukraine

Die Stimmung ist gekippt

3

Elon Musks politischer Feldzug

Der Besessene

4

Feier zur Befreiung von Auschwitz

Netanjahu wird in Polen nicht verhaftet werden

5

Ex-SPD-Chef über Wahlkampf

„Ein gewisser Optimismus“

6

Öffentlich-Rechtliche im Wahlkampf

Habeck ruft zum Voting auf