MMS-Lücke lässt Windows Mobile Handys abstürzen

Telefonie Während des 23. Chaos Communication Congress ging es in der vergangenen Woche unter anderem um die Sicherheit von mobilen Geräten mit Windows Mobile. Sicherheitsexperten veröffentlichten Proof-Of-Concept Code, der eine Schwachstelle in der ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Auf diesem Weg kann ein Angreifer ein Windows Mobile Handy mit Hilfe einer überlangen MMS-Nachricht, die Schad-Code enthält, zum Absturz bringen, wodurch man Zugriff auf den Speicher des betroffenen Geräts erlangt." Das ist sehr ungenau. Zum einen kündigt ihr eine (noch relativ harmlosen) DoS-Angriffsmöglichkeit an, dann aber schreibt ihr über einen Buffer Overflow - was *wesentlich* kritischer ist, weil damit die Kontrolle über das Handy übernommen werden kann (z.B. wild Nummern angerufen werden können, Adressbuch rübergesendet, etc. etc.). Da muss man pingelig unterscheiden. ... Übrigens fehlt mal wieder ne Quelle, die gehört eigentlich sauber drunter :). Schönes neues Jahr wünsche ich :).
 
@Lofote: Wo wird hier etwas von einem DoS-Angriff gesagt? Ein DoS-Angriff ist doch etwas völlig anderes, hat nichts mit einem Bufferüberlauf zu tun.
 
@el3ktro: DoS heißt einfach Denial of Service, also dass der Dienst, den das angegriffene Gerät normalerweise bietet, nicht erreichbar/nutzbar ist. Während das Handy mit Abstürzen beschäftigt ist, kann es seinen Dienst nicht verrichten und schon sind wir bei DoS. Wenn man das Handy gezielt zum Absturz bringt, kann man durchaus von einer DoS-Attacke sprechen.
 
@TiKu: Schon klar, nur verwendet man den Begriff DoS oder DDoS eigentlich immer nur dann wenn ein Angriff durchgeführt wird, indem der betreffende Dienst (z.B. ein Webserver) so mit Anfragen zugemüllt wird, das er irgendwann nicht mehr hinterherkommt und alle Anfragen abblockt (nicht aber zwangsläufig abstürzt). Wenn ich einen Webserver durch einen Buffer Overflow zum Absturz bringe, ist zwar effektiv natürlich auch der Dienst nicht mehr erreichbar, man redet aber nicht von einem DoS-Angriff.

Übertragen auf ein Handy hätte ich einen DoS-Angriff theoretisch dann, wenn ich z.B. so viele MMS an ein Handy schicke das dieses nicht mehr hinterherkommt und nicht mehr auf Benutzereingaben reagiert. Wenn ich das Handy durch eine einzige manipulierte MMS, die Schadcode enthält, zum Absturz bringe, handelt es sich nicht um einen DoS-Angriff, sondern schlicht um eine Sicherheitslücke (z.B. ein Buffer Overflow).

Tom
 
zum glück kenne ich keinen, der 39cent für eine mms bezahlen würde :)
 
@LordDeath: Und ich keinen, der sich eines solchen Teiles rühmen könnte!
 
@LordDeath: Wenn mir jmd. eine MMS schickt, bekomme ich eine SMS mit einer URL, unter der ich die MMS abrufen kann, wenn ich mag. Ich mag aber nie. :)
 
@TiKu: Liegt entweder daran, das Du kein MMS-Handy hast oder das Du eins hast, aber selber nie eine versendet hast bzw nicht die richtigen Einstellungen im Handy hast. Sonst kommen die Dinger immer durch
 
@nokiaexperte: Dann wirds an den Einstellungen liegen. MMS-fähig ist es auf jeden Fall. Selbst versendet habe ich allerdings auch noch keine.
 
Na immerhin stürzt das Ding gleich ganz ab - wird der Akku wegen des blauen Bildschirms wenigstens nicht überstrapaziert *g*
 
@sibbl: Bei Windows Mobile gibts keine Bluescreens, es geht einfach nichts mehr! Softreset, und gut!
 
Da der Artikel leider Widersprüche enthält und wieder mal keine Quelle angegeben ist, die diese klären könnte, hier ein wenig Hintergrundinfo mit einem link zur tatsächlichen Quelle:
http://www.heise.de/newsticker/meldung/83104
 
@netwolf: Die wo ist die quelle comments in jeder News gehen einen solangsam auf den sack...
 
@Sebastian2: Tja, zum ernsthaften Journalismus gehört auch eine ordentliche Quellenangabe.
 
@Sebastian2: schau, Sebastian, zum einen habe ich nicht herumgejammert wo die Quelle ist, sondern selbständig eine (potenzielle) Quelle oder zumindest weiterführende Informationen mit einem link zur vermeintlichen Quelle angegeben. Zum anderen wirst du mir doch Recht geben dass die Formulierung "...zum Absturz bringen, wodurch man Zugriff auf den Speicher des betroffenen Geräts erlangt..." nicht unbedingt sehr klar, geschweige denn eindeutig ist (Absturz != Schadcodeausführung). Genau für solche Fälle ist es nun einmal sehr angenehm, eine Quelle zu haben bei der man nachlesen kann, was wirklich gemeint ist. Und genau das ist für mich auch der Grund weshalb ich auf Quellenangaben einen gewissen Wert lege oder sie zumindest schätze - abgesehen vom journalistischen Ethos der es meiner Meinung nach auch gebietet, Quellen und Zitate richtig anzuführen, was einen Redakeur nicht nur seriöser macht sondern ihn auch vor dem Vorwurf, Plagiate zu schreiben, schützt. Dies ist meine - IMHO durchaus reflektierte - Meinung zum Thema Quellen & Zitate. Ich wünsch dir noch einen schönen Abend.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen