Smartphone Sicherheit sieht der Apokalypse entgegen

Dan Auerbach, Staff Technologe bei der EFF Electronics Frontier Foundation, weist auf veraltete Verschlüsselungsstandards und damit einhergehende Anfälligkeit moderner Smartphones bezüglich ihres Baseband-Prozessors hin, die insgesamt eine gewaltige Sicherheitslücke darstellen.
Wegen der immer stärkeren Verbreitung der Smartphones entwickle sich diese gefährliche Sicherheitslücke zu einer wahren Apokalypse, da sie womöglich nicht geschlossen werde, bis die Katastrophe eingetreten ist.

Worin besteht das Problem ?
Die Baseband-Prozessoren in vielen heutigen Smartphones interagieren mit praktisch jeder Basisstation in Reichweite.
Gleichzeitig sind die Kosten für portable Basisstationen erheblich gesunken.
Man muss lediglich mit entsprechender Technologie sich als Basisstation ausgeben, so dass ein Mobiltelefon anstatt mit einer echten mit dieser falschen kommuniziert.
Insbesondere Polizei- und Sicherheitsbehörden nutzen die so entstehenden Möglichkeiten bereits, um Mobiltelefonkommunikation abzuhören – genau das dürfte unter anderem auch die Wahrscheinlichkeit senken, dass eine Lösung auf absehbare Zeit angestrebt oder forciert wird.

Der Begriff „Baseband Apokalypse“ und die Idee dahinter seien bereits seit 16 Monaten bekannt, als im Januar 2011 auf der Black Hat DC 2011 Technical Security Conference der Sicherheitsforscher (Kryptologe und Reverse Engineer) Ralf-Philipp Weinmann vom LACS Labor der Universität Luxemburg vor dieser Sicherheitslücke gewarnt hat, nachdem neue OpenSource-Tools mobile Basisstationen einrichten können.

Beschreibung zu Ralf-Philipp Weinmann’s Präsentation „The Baseband Apocalypse“ auf der Black Hat DC 2011:
(Zitat)
„Attack scenarios against smartphones have concentrated on vulnerable software executed on the application processor. The operating systems running on these processors are getting hardened by vendors as can best be seen in the case of Apple’s iOS, which both uses uses data execution prevention and code signing to make exploitation of memory corruptions and running malicious software harder.
In contrast, the GSM/3GPP stack running on the baseband processor has been neglected.
The advent of open-source solutions for running GSM base stations is a game-changer: Malicious base stations are not considered in the attack model assumed by the GSMA and the ETSI; similarly vendors of baseband stacks seem to not have taken malicious input from the network side into account. This paper explores the viability of attacks against baseband processors of GSM cellular phones, the focus being on smartphones.
We demonstrate the first over-the-air exploitations of memory corruption in GSM/3GPP stacks that result in malicious code being executed on the baseband processors.“

Quelle/n + weitere Informationen:
http://www.networkworld.com/news/2012/051612-smartphone-security-259357.html
http://www.blackhat.com/html/bh-dc-11/bh-dc-11-schedule.html
http://www.blackhat.com/html/bh-dc-11/bh-dc-11-briefings.html#Weinmann
http://www.blackhat.com/html/bh-dc-11/bh-dc-11-speaker_bios.html#Weinmann
Foto Black Hat