Der Mitgründer eines Schweizer Unternehmens, das Kunden den massenhaften Versand von SMS etwa mit Verifikations-PINs ermöglicht, hat nebenher angeblich die Überwachung von Mobilfunkgeräten ermöglicht. Diese Vorwürfe gegen Ilja Gorelik von der Mitto AG erheben das Bureau of Investigative Journalism und Bloomberg.
Goreliks Firma hat Verträge mit Providern in aller Welt, um SMS in großen Mengen und auch in schwer erreichbare Staaten wie etwa Afghanistan und den Iran zu schicken. Dafür zahlen unter anderem IT-Riesen wie Google, Twitter, WhatsApp und Microsoft, die über Mitto etwa SMS mit Verifikationsnummern verschicken. Gorelik war das aber wohl nicht einträglich genug: Den Recherchen zufolge verkaufte er die Zugänge zu den Mobilfunknetzen an Kunden, die das etwa für die Standortüberwachung von Mobilfunkgeräten nutzen konnten.
Den Recherchen und Aussagen von Eingeweihten zufolge hat Gorelik, der bei Mitto als verantwortlich fürs operative Geschäft (COO) geführt wird, eigene Software installiert, mit der Mobilfunkgeräte überwacht werden konnten. Die Kunden des Unternehmens und die Provider hätten davon nichts gewusst, auch Mitto selbst habe inzwischen versichert, nicht eingeweiht gewesen zu sein. Die Firma habe eine interne Untersuchung eingeleitet. Gorelik hat demnach dafür gesorgt, dass bestimmte Mobilfunknummern gezielt überwacht werden konnten. Wieder seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, das seit Jahren als missbrauchsanfällig gilt. Die Lücken haben ihren Ursprung in der Kernannahme, dass prinzipiell nur berechtigte Firmen auf das System Zugriff haben und es nur für reguläre Zwecke nutzen. Dass das nicht der Praxis entspricht, ist längst bekannt.
Quelle: heise
Goreliks Firma hat Verträge mit Providern in aller Welt, um SMS in großen Mengen und auch in schwer erreichbare Staaten wie etwa Afghanistan und den Iran zu schicken. Dafür zahlen unter anderem IT-Riesen wie Google, Twitter, WhatsApp und Microsoft, die über Mitto etwa SMS mit Verifikationsnummern verschicken. Gorelik war das aber wohl nicht einträglich genug: Den Recherchen zufolge verkaufte er die Zugänge zu den Mobilfunknetzen an Kunden, die das etwa für die Standortüberwachung von Mobilfunkgeräten nutzen konnten.
Einfach, schnell, billig – und unsicher
Mitto wirbt damit, seit 2013 "rund um den Globus, Kommunikation möglich zu machen". Das Unternehmen erklärt, den besten Service für A2P-Nachrichten ("application-to-person messaging") zu bieten, also Inhalte automatisch – und ohne Rückkanal – auf Mobilfunkgeräte zu bringen. Dabei bezieht sich das Unternehmen unter anderem auf Massen-SMS für Werbezwecke und auf Verifikationscodes, die etwa als zweiter Faktor zur Authentifizierung verschickt werden. Mitto hat dafür Verträge mit Providern in mehr als 100 Staaten, erklärt das Bureau of Investigative Journalism. Im Gegenzug bekommt Mitto exklusive Zugänge zu den Mobilfunknetzen und kann weitgehend unkontrolliert seinen Geschäften nachgehen. Das hat Gorelik den Berichten zufolge ausgenutzt, um Geschäfte mit dubioseren Kunden zu machen.Den Recherchen und Aussagen von Eingeweihten zufolge hat Gorelik, der bei Mitto als verantwortlich fürs operative Geschäft (COO) geführt wird, eigene Software installiert, mit der Mobilfunkgeräte überwacht werden konnten. Die Kunden des Unternehmens und die Provider hätten davon nichts gewusst, auch Mitto selbst habe inzwischen versichert, nicht eingeweiht gewesen zu sein. Die Firma habe eine interne Untersuchung eingeleitet. Gorelik hat demnach dafür gesorgt, dass bestimmte Mobilfunknummern gezielt überwacht werden konnten. Wieder seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, das seit Jahren als missbrauchsanfällig gilt. Die Lücken haben ihren Ursprung in der Kernannahme, dass prinzipiell nur berechtigte Firmen auf das System Zugriff haben und es nur für reguläre Zwecke nutzen. Dass das nicht der Praxis entspricht, ist längst bekannt.
Quelle: heise