Altes Elliott-Wellen-Forum - Der Multimedia-Spammer mit Automatisch-Abzock-Funktion!!!

Der Multimedia-Spammer mit Automatisch-Abzock-Funktion!!!

verfasst von Digedag, 11.12.2002, 17:39

-->Multimedia-Handy mit Sicherheitslücke

Das von Vodafone als Surf-Handy für das mobile Internet-Portal live! angebotene
Panasonic GD87 kann ohne Wissen des Besitzers eine WAP-Verbindung aufbauen.
Damit eröffnen sich neue Wege für unseriöse Dienste-Anbieter und Abzocker, da
das Sicherheitsloch auch zum Aufrufen kostenpflichtiger WAP-Seiten genutzt
werden kann. Die eigenmächtige Online-Sitzung würde der Kunde im Extremfall
erst bei der Kontrolle seiner Handy-Rechnung bemerken. Bei einem Rechtsstreit
gäbe es außerdem Probleme beim Nachweis, dass er das teure WAP-Angebot nicht
selbst aufgerufen habe. Bislang ist ein solcher Fall jedoch noch nicht bekannt
geworden.

Verantwortlich für die Sicherheitslücke ist der für ortsbezogene Dienste gedachte
WAP-Push-Dienst. Eine spezielle Push-SMS soll den WAP-Browser selbsttätig
aktivieren und etwa Werbeseiten des Supermarkts aufrufen, in dem sich der
Handy-Besitzer gerade aufhält. Während es bei anderen Handy-Modellen üblich
ist, vor Beginn der automatischen WAP-Session nach einer Bestätigung des Nutzers
zu fragen, fehlt dem Panasonic GD87 diese zusätzliche Sicherheit.

Die Vodafone-Pressestelle bestätigte das Fehlen einer Sicherheits-Abfrage,
Unternehmens-Sprecherin Amelie Döbele widersprach jedoch der Darstellung, es
handele sich dabei um einen Software-Fehler des Multimedia-Handys. Man habe
sich beim GD87 streng an die GSM-Vorgaben gehalten, die eine zusätzliche
Abfrage nicht vorsähen. Um die Lücke auszunutzen, müssten potenzielle Angreifer
sowohl die Rufnummer wie auch das Handy-Modell des Opfers kennen.
Anderenfalls bliebe nur, wahllos WAP-Push-SMS an tausende Handy-Nummern
zu schicken und zu hoffen, dabei ein Handy ohne Rückfrage zu erwischen. Dies
käme den Angreifer aber teurer als die zu erwartenden Einnahmen.

Trotzdem will Vodafone bis Ende Dezember nur noch Panasonic-Handys mit einer
modifizierten Firmware ausliefern, die eine eingebaute Rückfrage vor dem Aufruf
einer WAP-Seite durch den Push-Dienst enthalten. Kunden mit einem älteren
Panasonic GD87 will Vodafone auf Wunsch einen Tausch gegen ein
Panasonic-Handy mit korrigierter Firmware oder ein Modell eines anderen
Herstellers anbieten. (rop/c't)

--------------------------------------------------------------------

Also wenn das die Zunkunft des Händies sein soll, dann muss ich wohl auf die Teilnahme an dieser Wohltat der Zivilisation verzichten. Zumindest auf die neueren Modelle davon.

Was ich brauche, ist ein Mobil-TELEFON; keinen Mobil-Spammer.

Da nützt auch eine eingebaute Rückfrage"möchten Sie jetzt bitte kostenpflichtig belästigt werden?" nichts.
Schon das ganze Konstrukt"Push-SMS --> WAP-Browser starten" ist ein Totschlag-Argument gegen solche Geräte, wenn das irgendjemand in Gang setzen kann, ohne dass ich genau diese Ingangsetzung vorher bestellt hätte.

<ul> ~ http://www.heise.de/newsticker/data/rop-11.12.02-000/</ul>

Thread gesperrt

gesamter Thread:

Der Multimedia-Spammer mit Automatisch-Abzock-Funktion!!! - Digedag, 11.12.2002, 17:39
- So könnten die Staats-Haushalte saniert werden: - Digedag, 11.12.2002, 17:53