Dumme Systeme

Genau aus solchen Gründen ist unser Alarmsystem doof wie eine Tafel Schokolade. Die Kommunikation aus der Ferne erfolgt über SMS-Codes. Archaisch, aber sicher. Die Anlage akzeptiert nur von freigegebenen und in der Basis hinterlegten Handys die SMS. Wenn also jemand die Mobilfunknummer der Anlage kennt, geht trotzdem nichts.

Ereignisse werden auch per SMS gesendet. Und zusätzlich an hinterlegte Festnetznummern.

Ely schrieb:
--------------------------------------------------------------------------------
> Genau aus solchen Gründen ist unser Alarmsystem doof wie eine Tafel
> Schokolade. Die Kommunikation aus der Ferne erfolgt über SMS-Codes.
> Archaisch, aber sicher. Die Anlage akzeptiert nur von freigegebenen und in
> der Basis hinterlegten Handys die SMS. Wenn also jemand die Mobilfunknummer
> der Anlage kennt, geht trotzdem nichts.
>
> Ereignisse werden auch per SMS gesendet. Und zusätzlich an hinterlegte
> Festnetznummern.

Naja - da müssen sie nur Deine Handynummer herausbekommen. Nummern-Spoofing ist jetzt kein Hexenwerk. Die Sicherheit bewegt sich hierbei in etwa auf dem Niveau eines MAC-Filters.

Meine Handynummer, die der Anlage und die SMS-Codes. Das ist schon etwas viel Aufwand. Um die Nummer der Anlage zu erlangen, muß mein Handy gestohlen und entsperrt werden. Es ist ein iPhone XR mit Face ID. Da bin ich mal gespannt.

Klar, machbar ist alles irgendwie, 100 % Sicherheit gibt es nicht. Es ist auf alle Fälle sicherer als eine mit dem Internet verbundene Anlage.

Das mit den SMS ist optional, das Ding kann auch ohne SIM betrieben werden.

Ely schrieb:
--------------------------------------------------------------------------------
> Meine Handynummer, die der Anlage und die SMS-Codes. Das ist schon etwas
> viel Aufwand. Um die Nummer der Anlage zu erlangen, muß mein Handy
> gestohlen und entsperrt werden. Es ist ein iPhone XR mit Face ID. Da bin
> ich mal gespannt.
>
> Klar, machbar ist alles irgendwie, 100 % Sicherheit gibt es nicht. Es ist
> auf alle Fälle sicherer als eine mit dem Internet verbundene Anlage.
>
> Das mit den SMS ist optional, das Ding kann auch ohne SIM betrieben werden.

Da bist du aber falsch informiert. Ich geh mal davon aus, dass deine Anlage kein LTE benutzt. Das entsprechende Zubehör um den SMS Inhalt mitzulesen und mit gespoofter Nummer erneut zu senden ist vermutlich günstiger als so manches klassisches Einbrecher Werkzeug ;)

Ich glaube du hast es nicht verstanden, einfach eine *FAKE* SMS mit deiner Nummer an die Alarmanlage schicken. Dafür bedarf es nicht dein Handy.

Ely schrieb:
--------------------------------------------------------------------------------
> Meine Handynummer, die der Anlage und die SMS-Codes. Das ist schon etwas
> viel Aufwand. Um die Nummer der Anlage zu erlangen, muß mein Handy
> gestohlen und entsperrt werden. Es ist ein iPhone XR mit Face ID. Da bin
> ich mal gespannt.

Wie hier schon geschrieben wurde: Die Nummer zu spoofen und die SMS mitzulesen erfordert keinerlei Zugriff auf Dein Handy. Da solche Systeme in der Regel mit veralteter Mobilfunktechnik arbeiten, wir hier auch keine Abhörsicherheit vorliegen. Es können somit alle benötigten Daten einfach mitgelesen werden. Darüber hinaus musst Du nicht extra erwähnen, dass Du ein iPhone hast, denn Face ID ist selbstverständlich nicht sicherer als eine PIN oder gar ein Passwort, es ist lediglich komfortabler. Fernlöschung und dergleichen bieten heute zudem auch fast alle Geräte.

> Klar, machbar ist alles irgendwie, 100 % Sicherheit gibt es nicht. Es ist
> auf alle Fälle sicherer als eine mit dem Internet verbundene Anlage.

Und genau da dürftest Du falsch liegen. Es erfordert einen gezielten Angriff, aber das gilt auch für Online-Systeme.

> Das mit den SMS ist optional, das Ding kann auch ohne SIM betrieben werden.

Das wäre grundsätzlich natürlich eine Erhöhung des Sicherheitsfaktors.



3 mal bearbeitet, zuletzt am 27.03.19 09:29 durch Sybok.