HSTS-Schutz: Neue Angriffswelle umgeht Smartphone-Verschlüsselung

Sicherheitsforscher warnen vor einer neuen Welle von Angriffen auf Smartphones. Diese umgehen den etablierten Verschlüsselungsschutz HSTS und setzen auf raffinierte Ablenkungsmanöver. Aktuelle Berichte von Cyble Research und Microsoft zeigen, wie Kriminelle vorgehen.

API-Missbrauch und SMS-Bombing als neue Waffe

Der klassische Schutzmechanismus HTTP Strict Transport Security (HSTS) verliert an Wirkung. Statt die Verschlüsselung direkt zu brechen, setzen Angreifer jetzt auf eine andere Taktik: Sie bombardieren Nutzer mit einer Flut von SMS und Einmal-Passwörtern (OTP-Bombing).

Während der Nutzer abgelenkt ist, starten sie im Hintergrund bösartige API-Aufrufe. Rund 75 Prozent der analysierten Angriffstools deaktivieren dabei die Zertifikatsvalidierung, um Sicherheitskontrollen auszuhebeln. Auf dem kleinen Smartphone-Bildschirm bleibt diese Manipulation oft unsichtbar.

Vom Lauscher zum aktiven Proxy: Die AiTM-Gefahr

Die Angriffe haben sich weiterentwickelt. Experten sprechen nicht mehr von „Man-in-the-Middle“ (MITM), sondern von „Adversary-in-the-Middle“ (AiTM). Hier agiert der Angreifer als aktiver Proxy.

Der Nutzer verbindet sich – scheinbar sicher – mit der HTTPS-Seite des Angreifers. Dieser leitet alle Daten in Echtzeit an die echte Website weiter. Da die Verbindung zum Angreifer verschlüsselt ist, schlägt HSTS nicht alarm. Der Browser zeigt ein vermeintlich sicheres Schloss-Symbol an.

Ein besonderes Risiko bieten vergessene Subdomains. Ist die Hauptdomain durch HSTS geschützt, eine Subdomain aber nicht, nutzen Kriminellen diese Lücke. Auf dem Smartphone, wo die URL-Leiste oft ausgeblendet ist, fällt der Betrug kaum auf.

Browser-Hersteller im Update-Rennen

Microsoft und Google reagieren mit schnellen Updates. Anfang Februar veröffentlichte Microsoft kritische Patches für den Edge-Browser, die Lücken im zugrundeliegenden Chromium-Projekt schließen.

Die Hersteller arbeiten daran, die Erkennung von AiTM-Phishing-Kits direkt in den Browser zu integrieren. Diese Kits sind als „Phishing-as-a-Service“ auf dem Schwarzmarkt erhältlich und machen komplexe Angriffe auch für technische Laien möglich. Sie können sogar die Zwei-Faktor-Authentifizierung (2FA) aushebeln.

Was bedeutet das für Smartphone-Nutzer?

Die simple Regel „Achte auf das Schloss-Symbol“ gilt nicht mehr. Angreifer besorgen sich legitime SSL-Zertifikate für ihre Phishing-Seiten. Die Gefahr verlagert sich von der Netzwerk- auf die Anwendungsebene.

Besonders gefährdet sind Nutzer, die:
* Links aus SMS-Nachrichten öffnen.
* Apps von Drittanbietern nutzen.
* In Apps eingebettete Browser (WebViews) verwenden, wo der volle Schutz des Hauptbrowsers fehlt.

Wer sich gegen die neue Welle von AiTM-, SMS- und OTP-Angriffen schützen möchte, findet praxisnahe Schutzmaßnahmen in einem kostenlosen E‑Book zur Cyber-Security: aktuelle Bedrohungen, einfache Schutzschritte für Smartphones und Checklisten für den Sofortschutz. Der Leitfaden richtet sich an Unternehmen und Privatnutzer, die ihre IT-Sicherheit ohne teure Investitionen verbessern wollen. Jetzt kostenlosen Cyber-Security-Guide sichern

Strengere Warnungen und Passkeys als Antwort

Die Betriebssystem-Hersteller dürften in Zukunft aggressiver gegen unsichere Apps vorgehen. Für Nutzer wird sich das bemerkbar machen:

• Häufigere Warnungen: Browser könnten verstärkt alarmieren, wenn eine Seite Merkmale eines AiTM-Proxys aufweist.
• Push für Passkeys: Da AiTM-Angriffe Passwörter und OTPs abfangen, gewinnen phishing-resistente Passkeys (FIDO2) an Bedeutung.
• Mehr Druck auf Entwickler: App-Stores werden wahrscheinlich striktere Vorgaben für Certificate Pinning und HSTS machen.

Die Botschaft ist klar: Verschlüsselung allein reicht nicht mehr. Der Kampf um die Sicherheit findet jetzt in den Apps und gegen die Aufmerksamkeit des Nutzers statt.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.