Die Sicherheitslücke befindet sich in den VoIP-Clients verschiedener Hersteller. Die Namen der Hersteller wurden nicht genannt, weil sie noch keine Patches herausgebracht haben.
Bei einem Penetrationstest demonstrierte der Produktmanager von Sipera, Sachin Joglekar, dass es für Hacker möglich ist, einen Pufferüberlauf hervorzurufen. Dadurch kann ein kleines Skript auf den Laptop des Opfers geladen werden, das es dem Hacker dann ermöglicht, die Kontrolle über den Laptop zu übernehmen und Register einzusehen, sie zu löschen sowie Dateien und Daten zu stehlen.
“Ein kleiner Shell-Code wird in eine SIP-Nachricht eingefügt”, erläuterte Joglekar. “Sobald diese Nachricht beim Telefon eintrifft, wird der Shell-Code auf dem Laptop ausgeführt und der Angreifer kann eine Verbindung herstellen.” Joglekar hält dies für sehr bedenklich, weil die Sicherheitsunternehmen VoIP bisher nicht ernst nähmen. Bisher habe es keine Bedrohung für vertrauliche Daten in Softphones gegeben, betonte er.
Ein Analyst von Freeform Dynamics meinte allerdings, da die meisten Unternehmen noch kein VoIP hätten, halte er Angriffe auf Social Engineering für bedrohlicher. “Angestellte müssen vor sich selbst geschützt werden”, sagte er. “Ich behaupte nicht dass Löcher in VoIP- oder IM-Clients unwichtig sind, aber es gibt 500 verschiedene Wege, in einen fremden Laptop einzudringen.” Das dringlichere Problem sei, dass vertrauliche Daten aus den Büros herausgetragen würden, da immer mehr Unternehmen ihren Mitarbeitern erlaubten, von zu Hause aus zu arbeiten.
Joglekar erklärte dagegen, dass neue Kommunikationsformen wie VoIP und IM sich immer mehr ausbreiteten und die damit verbundenen Sicherheits- und Compliance-Probleme zunehmend in den Vordergrund träten. Der Virenschutzhersteller McAfee sagte, das Unternehmen würde sofort einen entsprechenden Schutz herstellen, wenn Hacker den beim Machbarkeitsbeweis vorgeführten Trick auch wirklich anwenden würden. Von Microsoft gibt es bisher keinen Kommentar zur Frage, warum die Tester die Windows-Firewall erfolgreich umgehen konnten.
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.