» Der „Narr“ will angeblich mittels QR Code Handys der Al-Quaida gehackt haben

Der „Narr“ will angeblich mittels QR Code Handys der Al-Quaida gehackt haben

Der selbsternannte Hacker „The Jester“ möchte eine angebliche Sicherheitslücke auf den Smartphones der Terrororganisation erkannt haben

Der Hacktivist „The Jester“ gibt an, er habe mittels eines eigens erstellten QR Codes sensible Daten der wohl bekanntesten Terrororganisation Al-Quaida von deren benutzten Smartphones gehackt haben. Hierbei erstellte The Jester einen QR Code, der nach erfolgtem Scannen einen Link an hunderte von Mobilfunkgeräten verbreitet haben soll. So konnte er laut seiner eigenen Aussagen an Adressbücher, SMS-Logs und E-Mails der betreffenden Personen gelangen.

Schwachstelle im WebKit-Engine der Webbrowser von iOS und Android

Wie Jester in seinem Blog bekanntgab, tauschte er auf seinem Twitter-Profil sein Bild gegen einen erstellten QR Code aus. Der Code beinhaltete einen weiterführenden Link, der den Nutzer auf eine Free-Hosting-Seite führte. Die Internetseite zeigte nun das korrekte Profilbild von Jester, einen Narr, als auch das Wort „Boo!“. Den Schadcode, den Jester auf dieser Seite versteckte, konnten die Nutzer nicht erkennen. Mittels Java-Script soll er nun eine Schwachstelle im WebKit-Engine der Webbrowser von iOS und Android genutzt haben, um an die von ihm gewünschten Daten zu gelangen. Wurde der QR Code nun von einem User gelesen, wurde automatisch ein Script ausgeführt, welches nach einem auf dem Gerät gängigen Twitter-Dienst suchte. Wurde das Script fündig, wurden Benutzernamen ausgelesen und mit einer von Jesper zuvor erstellten Liste automatisch abgeglichen. Anschließend gelangte der Hacker angeblich an die empfindlichen Daten, die er so gespeichert haben soll. Konnte kein Twitter Dienst ermittelt werden, wurde die Verbindung automatisch getrennt, die Daten wurden nicht ermittelt.

Erfolg der angeblichen Hackatacke ist fraglich

Auf seinem eigenen Blog erläuterte Jester seine Vorgehensweise, als auch z.T. in Auszügen seine angeblichen Erfolge. In nur fünf Tagen will er Zugriffszahlen zwischen 500 und 1200 Aufrufen verzeichnet haben. Experten bezweifeln jedoch die Umsetzbarkeit seines Hackversuches. So wurde bereits im Herbst 2010 die Sicherheitslücke CVE-2010-1807 in dem entsprechenden Webkit-Engine bei iOS und Android bekannt und umgehend beseitigt. Dies passt jedoch nicht zu der von Jester genannten Erfolgsquote von über 40%. Auch will ein Exploit gleich mehrere Versionen von iOS und Android gleichzeitig angegriffen haben. Auch der Sicherheitsexperte Georg Wicherski meldet starke Zweifel an dem von The Jester angekündigten Hackangriff. So sagt Wicherski, dass der von Jester genutzte Exploit-Code eine frei zugängliche aber nicht funktionierende Demoversion sei. Um seine Tat nun zu beweisen, stellte der „Narr“ nun eine PGP-verschlüsselte Datei ins Internet, die seine angeblich ausgelesenen Daten beinhalten soll.

Add comment

Kommentare

Bisher noch keine Kommentare.

Kommentar schreiben: