Simjacker: SIM-basierte Smartphone-Spionage

7 Okt 2019

Vor Kurzem haben Experten von AdaptiveMobile Security eine Angriffsmethode für Mobiltelefone entdeckt, die über einen normalen Computer mithilfe eines spottbilligen USB-Modems ausgeführt werden kann. Während einige bereits veraltete Methoden zur mobilen Handyüberwachung aufwendige Spezialausrüstungen und eine Telekommunitionsbetriebslizenz erforderten, nutzt dieser Angriff, bekannt unter dem Namen Simjacker, eine in SIM-Karten vorhandene Schwachstelle aus.

Simjacker: SIM-basierte Handyüberwachung

Schuld ist der S@T Browser

Die meisten seit Anfang der 2000er Jahre auf den Markt gebrachten SIM-Karten, einschließlich eSIM, verfügen über ein spezifisches Betreibermenü. Zu diesem Menü gehören unter anderem Anwendungen wie: Technischer Support, Lademanagement und zusätzliche Extras wie Wetter- und Horoskopprognosen. Bei alten Handys und Smartphones konnte man direkt über das Hauptmenü auf das Betreibermenü zugreifen, während es bei iOS-Geräten tief in den Einstellungen (unter SIM-Anwendung) verborgen und auf Android-Smartphones als eigenständige App unter dem Namen SIM Toolkit zu finden ist.

Bei dem Menü handelt es sich im Wesentlichen um eine App – genauer gesagt, um mehrere Apps mit dem allgemeinen Namen SIM Toolkit (STK) – deren Programme nicht über das Telefon selbst, sondern über die SIM-Karte ausgeführt werden. Zur Erinnerung: Ihre SIM-Karte ist nichts anderes als eine Art winziger, eigenständiger Computer mit einem eigenen Betriebssystem und individuellen Programmen. Das STK reagiert auf externe Befehle, z. B. auf im Betreibermenü gedrückte Tasten, und lässt das Telefon so bestimmte Aktionen ausführen; dazu gehört beispielsweise das Senden von SMS-Nachrichten oder USSD-Befehlen.

Eine der im STK enthaltenen Apps nennt sich S@T Browser und wird zur Anzeige verschiedener Websites eines bestimmten Formats sowie von Seiten im internen Netzwerk des Netzbetreibers verwendet; S@T Browser kann auf diese Weise beispielsweise Informationen zu Ihrem Kontostand bereitstellen.

Die S@T Browser App wurde seit 2009 nicht mehr aktualisiert und obwohl ihre Funktionen auf modernen Geräten von anderen Programmen ausgeführt werden, wird der S@T Browser noch immer aktiv verwendet – zumindest ist er noch immer auf vielen SIM-Karten installiert. Obwohl die Forscher keinerlei Namen bestimmter Regionen oder Telefongesellschaften, die SIM-Karten mit der vorinstallierten App verkaufen, öffentlicht gemacht haben, wird diese, ihren Angaben zufolge, dennoch von mehr als 1 Milliarde Nutzern in insgesamt 30 Ländern verwendet.

Simjacker greift an

Der Angriff beginnt mit einer SMS-Nachricht, die eine Reihe von Anweisungen für die SIM-Karte enthält – die SIM-Karte fragt infolgedessen die Seriennummer und Mobilfunk-ID der Basisstation, in deren Empfangsbereich sich der Karteninhaber befindet, ab, und sendet eine SMS-Antwort mit diesen Informationen an die Nummer des Angreifers.

Die Koordinaten der Basisstation sind kein Geheimnis (und sogar online zugänglich), sodass die Mobilfunk-ID genutzt werden kann, um den Standort des Karteninhabers zu bestimmten. Standortbezogene Dienste ohne Satellitenunterstütztun, z. B. in Innenräumen oder bei ausgeschaltetem GPS, bauen auf das gleiche Prinzip zur Standortbestimmung.

All das kann vom Benutzer der gehackten SIM-Karte nicht wahrgenommen werden. In der Nachrichten-App werden weder eingehende SMS-Nachrichten mit Befehlen noch Antworten mit Gerätestandortdaten angezeigt, sodass Simjacker-Betroffene wahrscheinlich gar nicht bemerken, dass sie ausspioniert werden.

Wer ist von Simjacker betroffen?

Laut AdaptiveMobile Security wurden täglich zwischen 100 und 150 Handynummern von Nutzern aus einem der betroffenen Länder kompromittiert. Obwohl Anfragen in der Regel nicht öfter als einmal pro Woche gesendet werden, wurden die Aktivitäten und Standorte einiger Opfer deutlich häufiger überwacht. Das Forscherteam stellte fest, dass einige Empfänger wöchentlich mehrere hundert böswillige SMS-Nachrichten erhielten.

Ähnliche Angriffe können noch weiter gehen

Den Forschern zufolge nutzten die Cyberkriminellen allerdings nicht alle mit S@T Browser möglichen SIM-Kartenfunktionen. So können SMS-Nachrichten beispielsweise genutzt werden, um eine beliebige Telefonnummer anzurufen, Nachrichten mit zufälligem Text an eine beliebige Nummer zu senden, Links im Browser zu öffnen oder die SIM-Karte zu deaktivieren.

Die Schwachstelle eröffnet demzufolge zahlreiche potenzielle Angriffsszenarien – Kriminelle können Geld per SMS an eine beliebige Kontonummer überweisen, Premium-Nummern anrufen, Phishing-Seiten im Browser öffnen oder Trojaner herunterladen.

Die Sicherheitslücke ist vor allem deshalb so gefährlich, weil sie nicht von dem Gerät, mit dem die anfällige SIM-Karte genutzt wird, abhängig ist; Der STK-Befehlssatz ist standardisiert und wird von allen Telefonen und sogar IoT-Geräten mit SIM-Karte unterstützt. Bei einigen Vorgängen, z. B. beim Tätigen eines Anrufs, fordern einige Minianwendungen zwar die Bestätigung des Nutzers ein, viele andere Apps tun dies jedoch nicht.

Wie können sich Nutzer vor Simjacker schützen?

Leider gibt es keine Einzellösung, mit der Benutzer deartige SIM-Karten-Angriffe abwehren können. Mobilfunkanbieter sind verpflichtet, die Sicherheit ihrer Kunden zu gewährleisten und sollten daher vor allem die Verwendung veralteter SIM-Menü-Apps vermeiden und SMS-Code mit gefährlichen Befehlen blockieren.

Aber es gibt auch gute Neuigkeiten. Obwohl für die Ausführung des Angriffs keine kostspielige Hardware erforderlich ist, sind ein eingermaßen fundiertes technisches Know-how und spezielle Fähigkeiten ein Muss, sodass die Methode höchstwahrscheinlich nicht von jedem x-beliebigen Cyberkriminellen angewandt werden kann.

Darüber hinaus haben die Forscher den Entwickler von S@T Browser, SIMalliance, über die Schwachstelle informiert. Als Reaktion gab das Unternehmen eine Reihe von Sicherheitsrichtlinien für Betreiber heraus, die die App verwenden. Weiterhin wurden die Simjacker-Angriffe von der GSM Association, eine internationale Organisation, die die Interessen von Mobilfunkanbietern auf der ganzen Welt vertritt, gemeldet. Wir gehen also davon aus, dass betroffene Unternehmen zum frühestmöglichen Zeitpunkt alle erforderlichen Schutzmaßnahmen ergreifen.