Eigentlich ist der Service-Provider Sakari dazu gedacht, es Unternehmen zu erleichtern, SMS-Marketing zu betreiben. Wie sich nun herausstellt, kann der Dienst aber auch dazu missbraucht werden, dein Handy zu hacken. Konkret ermöglicht er es Schuften, die es darauf anlegen, deine Nachrichten mitzulesen, ebendies zu tun – für gerade mal 16 US-Dollar.

Handy hacken ohne Vorwissen

Die maßgebliche Besonderheit, die mit der Nutzung von Sakari zum Abfangen von SMS einhergeht, liegt in der Bedienung. So musst du dafür kein Programmierer sein – du musst nicht mal wissen, wie man auch nur eine einzige Zeile Code schreibt. Stattdessen musst du lediglich die Telefonnummer der Person wissen, deren Handy du „hacken“ willst.

„Man kann ein Konto erstellen, wenn man damit herumspielen will, buchstäblich jeder kann sich anmelden“, sagte Lucky225, der pseudonyme Hacker, der den Angriff auf den Motherboard-Journalisten Joseph Cox durchführte und beschrieb, wie einfach es sei, Zugang zu den Sakari-Tools zu erhalten, die zum Beschlagnahmen von Telefonnummern notwendig sind.

Cox selbst berichtet, dass sein Smartphone keinerlei Anzeichen darauf gezeigt habe, dass jemand seine Nachrichten mitlese. Er sei noch immer mit dem T-Mobile-Netzwerk verbunden gewesen und auch sonst hätten sich keine Auffälligkeiten offenbart. „Ich habe eine Prepaid-Karte verwendet, um ihren 16-Dollar-Monatsplan zu kaufen, und nachdem das erledigt war, konnte ich Nummern stehlen, indem ich einfach LOA-Informationen mit gefälschten Daten ausfüllte“, fügte Lucky225 hinzu.

Übrigens: Auch der Staatstrojaner Pegasus sorgt derzeit wieder für Aufsehen.

Politiker & Experten beziehen Stellung

Es sei nicht schwer, „die enorme Bedrohung für die Sicherheit zu erkennen, die diese Art von Angriffen mit sich bringt“, erklärte Senator Ron Wyden in einer Erklärung, nachdem Motherboard ihn auf die Schwachstelle aufmerksam gemacht hatte. „Die FCC muss ihre Autorität nutzen, um Telefongesellschaften zu zwingen, ihre Netzwerke vor Hackern zu schützen. Der ehemalige Vorsitzende Pai’s Ansatz der Selbstregulierung der Industrie ist eindeutig gescheitert.“

Auch Eva Galperin, Direktorin für Cybersicherheit bei der Aktivistenorganisation Electronic Frontier Foundation, betonte, dass der gezeigte Angriff unterstreiche, „wie wichtig es ist, die Menschen von SMS 2FA und allgemeiner von ‚Login mit Ihrer Telefonnummer‘-Lösungen wegzubringen.“

Dass sich auf so einfache Weise ein Handy hacken lässt, hätten wohl nur die wenigsten erwartet. Ein solcher Angriff könnte sogar die Zwei-Faktor-Authentifizierung via SMS mit Leichtigkeit aushebeln. Anwendungen wie der Google Authentificator, können davor schützen. Um dich vor einer anderen Art der Attacke zu schützen, solltest du derzeit zudem dringend ein iPhone-Update durchführen. Gleich sieben Zero-Day-Lücken von Google machen auch iOS angreifbar.