Suchen

Smartphone-Nutzer durch Packet Spoofing bedroht Anfällige Firewalls bei Mobilfunk-Providern

| Redakteur: Stephan Augsten

Etliche Mobilfunknetze sind von einer Firewall-Schwachstelle betroffen, berichten Sicherheitsforscher der University of Michigan. Per TCP-Sequenznummern-Attacke lässt sich der Traffic zwischen Smartphone und Zielserver im Internet manipulieren.

Per TCP-Sequenznummern-Attacke lässt sich das Smartphone auf beliebige Server umleiten.
Per TCP-Sequenznummern-Attacke lässt sich das Smartphone auf beliebige Server umleiten.

Um zwischen Mobilfunknetz und Internet eine zusätzliche Sicherheitsschicht zu schaffen, verwenden die Provider spezielle Firewall-Middleboxes. Im Bericht „Off-Patch TCP Sequence Number Inference Attack“ (PDF, 1 MB) zeigen IT-Experten der University of Michigan auf, dass etliche dieser Firewalls anfällig für eine TCP-Sequenznummern-Attacke sind.

Der Angreifer muss sich hierfür nicht direkt in die Verbindung zwischen Smartphone und Zielserver einklinken, wie es bei einer „Man in the Middle“-Attacke der Fall ist. Für einige der durchgespielten Angriffsszenarien genügt es, dass der Provider das sogenannte Packet Dropping auf seiner Firewall aktiviert hat.

Bildergalerie

Mithilfe dieser Funktion prüft die Firewall die im TCP-Header (Kopfdaten) hinterlegte Frequenznummer, anhand derer sie legitime Datenpakete identifiziert und ungültige fallen lässt. Ein Angreifer kann so schnell in Erfahrung bringen, wie gültige Kopfdaten aussehen müssen, um damit bösartige TCP-Pakete zu fälschen.

Über die anfällige Dropping-Funktion ist prinzipiell jedes Smartphone angreifbar, wie die Sicherheitsforscher unterstreichen. Noch gefährlicher wird es, wenn der Smartphone-Nutzer zusätzlich eine App aus nicht vertrauenswürdiger Quelle installiert, wie es bei Android-Geräten möglich ist. Dann muss der Angreifer nicht einmal mutmaßen, wie ein TCP-Paket aussehen muss, sondern kann die Datenpakete direkt fälschen.

Durch das Paket-Spoofing ergeben diverse Möglichkeiten. Beispielsweise könnte der Angreifer bösartigen Code in unverschlüsselte Facebook- und Twitter-Sitzungen einfügen, so dass über das Nutzerkonto ungewollte Nachrichten verschickt oder unerwünschte Kontakte geknüpft werden. Denkbar ist auch, dass der Angreifer eine Chat-Session übernimmt oder den Anwender auf betrügerische Webseiten umleitet.

Anfällige Provider in den USA und Deutschland

Um zu prüfen, welche Provider eine kompromittierbare Firewall einsetzen, haben die IT-Experten der University of Michigan das Firewall middlebox detection-Tool für Android entwickelt. Im Rahmen des Berichtes wurden die Telefonnetze von 149 Betreibern geprüft, 48 davon setzten eine anfällige Firewall ein. Mithilfe der Android App hat Security-Insider.de auch die Mobilfunknetze deutscher Mobilfunk-Anbieter getestet.

Demnach haben Kunden von E-Plus (BASE), o2 und Vodafone nichts zu befürchten, während bei T-Mobile anfällige Firewalls im Einsatz sind. Leider konnten wir keinen Helfer finden, der direkt mit dem E-Plus-Netz verbunden ist. Deshalb rufen wir noch einmal interessierte Leser auf, ihr Mobilfunknetz zu testen und ein Feedback im Forum abzugeben.

(ID:33807890)