Categories: MobileMobile OS

Android: Fehlerhafte VoLTE-Implementierung ermöglicht Betrug und DoS-Angriffe

Das US-CERT hat auf drei Sicherheitslücken in der Voice-over-LTE-Implementierung von Googles Mobilbetriebssystem Android aufmerksam gemacht. Auslöser ist der mit LTE, der vierten Mobilfunkgeneration, eingeführte Wechsel von Leitungsvermittlung zu Paketvermittlung und IP-Protokoll, der „neue Arten von Angriffen erlaubt, die bei früheren Netzwerkgenerationen nicht möglich waren“. Einige dieser Angriffe seien bereits von Voice over IP bekannt.

Android (Bild: Google)Der Sicherheitsmeldung des US-CERT zufolge verwaltet Android Berechtigungen für LTE-Netze nur unzureichend. Die Berechtigung „Call_Phone“ lasse sich mit der Berechtigung „Internet“ durch das Senden von IP- oder SIP-Paketen überschreiben. Das ermöglicht es offenbar, Anrufe im Hintergrund und ohne Wissen des Nutzers auszuführen, was zu erhöhten Telefonrechnungen und sogar Denial of Service führen kann. iOS ist laut Apple nicht von diesem Problem betroffen.

Andere Fehler sind wiederum von der LTE-Implementierung des Netzbetreibers abhängig. In einigen Netzwerken können zwei Telefone eine gemeinsame Sitzung aufbauen, was es dem Anbieter nicht erlaube, die Kommunikation abzurechnen. Nutzer wiederum könnten kostenlose Anrufe tätigen oder aber Gespräche unter der Nummer eines anderen Teilnehmers zu führen.

ANZEIGE

Der Nutzen von iOS 9 für Enterprise Mobility

Mit iOS 9 bringt Apple jetzt eine neue Version seines mobilen Betriebssystems, die konsequent sowohl den Workflow als auch den Schutz der Daten in den Unternehmen optimiert. Und iOS 9 stellt die nötigen Andockstellen für ein übergreifendes Enterprise-Mobility-Management-System bereit.

Auch die Anmeldung bei SIP-Servern ist unter Umständen unzureichend. Hier könnte ein Hacker SIP-Nachrichten mit der Nummer eines anderen Nutzers verschicken. Außerdem kann ein Endgerät mehrere SIP-Sitzungen gleichzeitig aufbauen, was ebenfalls für Denial-of-Service-Angriffe benutzt werden kann.

Entdeckt haben die Schwachstellen mehrere südkoreanische Forscher, die ihre Erkenntnisse in der vergangenen Woche auf der Sicherheitskonferenz ACM CCS 2015 präsentierten. Ihnen zufolge lassen sich die Schwachstellen auch benutzen, um Peer-to-Peer-Netzwerke aufzubauen und Daten von den Mobiltelefonen anderer Nutzer abzufangen.

Dem US-CERT sind derzeit noch keine „konkreten Lösungen“ für die Sicherheitsprobleme bekannt. Google habe zudem bestätigt, dass Android betroffen sei. Auf Nachfrage von ZDNet.com teilte das Unternehmen mit, es werde im November Patches für seine Nexus-Geräte bereitstellen. Von den US-Providern AT&T, Verizon und T-Mobile, die seit Mai beziehungsweise Juli von den Fehlern wissen, gibt es indes noch keine Rückmeldungen.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hacker streuen über 330 bösartige Apps in Google-Play-Kampagnen

Eine aktuelle Analyse der Bitdefender Labs zeigt, dass es bis jetzt weltweit zu rund 60…

12 Stunden ago

Studie: Anstieg der APT-Angriffe auf Unternehmen

Insgesamt ist jedes vierte Unternehmen im Jahr 2024 das Opfer einer APT-Gruppe. Bei den schwerwiegenden…

18 Stunden ago

Update für Windows 11 löscht versehentlich Microsoft Copilot

Betroffen sind einige Nutzer von Windows 11. Die März-Patches deinstallieren unter Umständen die Copilot-App. Nicht…

1 Tag ago

Entschlüsselungs-Tool für Akira-Ransomware entwickelt

Es funktioniert ausschließlich mit der Linux-Variante von Akira. Das Tool knackt die Verschlüsselung per Brute…

2 Tagen ago

Frauen in der IT – vielerorts weiter Fehlanzeige

Laut Bitkom-Umfrage meinen noch immer 39 Prozent der Betriebe, Männer seien für Digitalberufe besser geeignet.

2 Tagen ago

Balkonkraftwerk mit Speicher: Lohnt sich die Investition wirklich?

Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…

3 Tagen ago