Lücke

VoLTE: Kostenfalle, Betrug und DoS-Angriffe möglich

Beim Android-Betriebssystem wurde der VoLTE-Standard nur unzureichend implementiert. Dadurch können den Nutzern ungewollte Kosten entstehen. Wir berichten darüber, welche Probleme es gibt und wann mit einem Sicherheits-Patch zu rechnen ist.
AAA
Teilen (24)

VoLTE-Sicherheitslücke bei Android-SmartphonesVoLTE-Sicherheitslücke bei Android-Smartphones Seit dem Frühjahr bieten mit Vodafone und o2 die ersten deutschen Mobilfunk-Netzbetreiber die Telefonie über LTE an. Zuvor war es generell üblich, für eingehende und ausgehende Gespräche eine eventuell bestehende LTE-Verbindung zu unterbrechen und den Anruf über GSM oder UMTS zu vermitteln, bevor wieder auf das 4G-Netz zurückgeschaltet wird.

Die Deutsche Telekom und E-Plus bieten Voice over LTE (VoLTE), wie sich die Telefonie im Mobilfunknetz der vierten Generation nennt, noch nicht an. Aber auch bei den Netzbetreibern, die die Technik bereits freigeschaltet haben, kann es noch zu Problemen kommen. Wie unser Test mit iPhone 6S und iPhone 6S Plus gezeigt hat, sind offenbar noch nicht alle SIM-Karten von Vodafone für den Dienst freigeschaltet. Auch Leser bestätigten, dass sie trotz geeignetem Endgerät und Vodafone-Vertragskarte inklusive LTE-Freischaltung VoLTE nicht nutzen können.

Andere Leser beklagten wiederum Abrechnungsprobleme im International Roaming, die mit VoLTE zusammenhängen. Diesen Fehler hat Vodafone allerdings bereits vor einigen Monaten behoben, so dass die Telefonie im 4G-Netz nicht mehr zu einer vermeintlichen Kostenfalle werden sollte.

Lücke sorgt für Kosten-Risiko

Das Onlinemagazin ZDnet berichtet jetzt von neuen Problemen, die allerdings den Angaben zufolge nur bei Android-Smartphones, nicht aber beim Apple iPhone auftreten. So sei der VoLTE-Dienst auf der Google-Plattform unzureichend implementiert worden. Die Berechtigung "Call_Phone" lasse sich mit der Berechtigung "Internet" durch das Senden von IP- oder SIP-Paketen überschreiben.

ZDnet beruft sich auf eine Sicherheitsmeldung des US-CERT, wo es weiter heißt, die Sicherheitslücke ermögliche es, Telefonate im Hintergrund zu starten, ohne dass der Besitzer des Smartphones dies bemerkt. Dadurch könnten den Nutzern Kosten entstehen, die sie nicht selbst verursacht haben.

Aber auch bei einigen Mobilfunknetzen ist VoLTE dem Bericht zufolge noch unzureichend implementiert worden. So erlaubten manche Netze den parallelen Aufbau zweier Sprachverbindungen, die sich aber wiederum nicht abrechnen ließen. Die Möglichkeit des Aufbaus mehrerer SIP-Verbindungen könne zu DoS-Attacken (Denial-of-Service) genutzt werden.

Update für Nexus-Smartphones in Arbeit

Die von koreanischen Forschern entdeckten Sicherheitslücken sollen sich auch für den Aufbau von Peer-to-Peer-Netzen eignen. So könnten auch auf den Smartphones gespeicherte Daten abgefangen werden. Dem US-CERT liegen noch keine Lösungsansätze vor. Google habe das Problem bestätigt. Für die hauseigenen Nexus-Geräte soll es im November ein Sicherheits-Update geben. Wann die Hersteller anderer Android-Handhelds nachziehen, ist noch nicht bekannt.

Teilen (24)

Mehr zum Thema Voice over LTE