Kriminelle hacken Smartphones per SMS

Midnight Raid Attacks immer wahrscheinlicher

Mobiltelefonbesitzer sollten sich in Zukunft ganz genau überlegen, wem sie ihre Handynummer geben. Cyber-Kriminelle könnten mithilfe der richtigen Tools die Kontrolle über Smartphones übernehmen, indem sie lediglich eine SMS an das potenzielle Opfer schicken. Mit dieser Warnung wendet sich aktuell Trust Digital, ein US-Anbieter für mobile Sicherheitslösungen, an die Millionen Handynutzer auf dieser Welt.

"Midnight Raid Attack"

Ziel des als "Midnight Raid Attack" bezeichneten Angriffs sei der Diebstahl von sensiblen Handydaten. "Mit einer Midnight Raid Attack könnte ein Hacker beispielsweise durch das Verschicken einer einfachen Textnachricht einem Smartphone befehlen, seinen Webbrowser automatisch zu starten, um eine Seite mit schädlichen Inhalten aufzurufen", erklärt Dan Dearing, Vize-Präsident für Marketing bei Trust Digital.

Attacken bereits möglich

Dem Sicherheitsexperten zufolge handelt es sich bei den "Midnight Raid Attacks" vorläufig zwar lediglich um Machbarkeitsstudien, die der Öffentlichkeit vor Augen führen sollen, wie ernst diese Gefahr in Wirklichkeit ist. Dearing betont allerdings auch, dass eine Person, die über den hierfür nötigen Wissensstand verfügt, diese Angriffsform ohne Probleme selbst durchführen könnte.

Profigeschäft

Man muss auch ganz klar sehen, dass Cybercrime ein Profigeschäft ist. Dennoch: "Aktuell von einer umfassenden Bedrohungslage zu sprechen ist sicherlich übertrieben. Bisher fehlen zudem erfolgreiche Konzepte, wie die Täter hier an das Geld kommen", meint Thorsten Urbanski, Sprecher des deutschen Antiviren-Herstellers G Data.

Zwei Manipulationsmöglichkeiten

Trust Digital hat zwei unterschiedliche Verfahren getestet, mit denen sich Hacker, die über die notwendigen Tools und das entsprechende Know-how verfügen, per SMS Zugriff auf ein Smartphone verschaffen können. Bei ersterer Variante kann ein Angreifer den Browser eines Mobiltelefons und damit auch automatisch eine manipulierte Webseite öffnen lassen. "Die Seite lädt dann eine ausführbare Datei auf das Handy, die auf dem Gerät gespeicherte Daten ausliest", schildert Dearing.

"Control Message"

Die zweite Angriffsmethode nutzt hingegen eine spezielle Form der SMS, die als sogenannte "Control Message" bezeichnet wird, um die SSL-Verschlüsselung auf einem mobilen Endgerät zu deaktivieren. Ist dies gelungen, können Cyberkriminelle den gesamten W-Lan-Datenverkehr eines Handys überwachen und bestimmte sensible Informationen wie etwa Login-Daten von E-Mail-Konten oder Kreditkarteninformationen herauslesen.