Gefixt

Forscher finden Sicherheitslücke bei VoLTE

Forscher der Uni Bochum konnten, wenn auch aufwendig, 4G-Tele­fo­nate über VoLTE entschlüssen. Schuld war ein wieder­ver­wen­deter Sicher­heits­schlüsel.

Forscher haben eine Sicherheitslücke bei VoLTE (4G) und für 5G gefunden und beseitigt. Forscher haben eine Sicherheitslücke bei VoLTE (4G) und für 5G gefunden und beseitigt.
Foto: teltarif.de
Forscher der Ruhr-Uni Bochum hatten schon vor zwei Jahren aufge­deckt, dass das LTE- und das darauf aufbau­ende 5G-Proto­koll einige Sicher­heits­lü­cken aufwiesen, teltarif.de hatte seiner­zeit ausführ­lich darüber berichtet. Damals gelang es den Forschern, die ersten Surfer im 4G Netz auf gefälschte Seiten umzu­leiten oder zu schauen, welche Seite sie gerade ansurfen.

Lang­jäh­rige Forschung

Forscher haben eine Sicherheitslücke bei VoLTE (4G) und für 5G gefunden und beseitigt. Forscher haben eine Sicherheitslücke bei VoLTE (4G) und für 5G gefunden und beseitigt.
Foto: teltarif.de
Die Forschung ging weiter. Den Bochumer Forschern gelang es, LTE-Anrufe nach­träg­lich zu entschlüs­seln und damit verzö­gert mitzu­hören. David Rupprecht, Katha­rina Kohls und Thorsten Holz von der Ruhr-Uni Bochum und Chris­tina Pöpper von der NYU Abu Dhabi konnten zeigen, wie eigent­lich verschlüs­selte Tele­fo­nate im Mobil­funk­netz von Dritten mitge­schnitten und entschlüs­selt werden konnten.

Schwach­stelle im VoLTE-Proto­koll

Die Schwach­stelle betrifft Sprach­an­rufe, die über VoLTE (Voice over LTE) geführt werden. Eigent­lich sind diese Anrufe verschlüs­selt. Den Forschern gelang es aber, unter ganz bestimmten Bedin­gungen diese Verschlüs­se­lung auszu­he­beln. Das Fatale: Die Opfer eines Angriffs hätten davon nichts mitbe­kommen. Das präsen­tierten die Wissen­schaftler auf einer Fach­kon­fe­renz "Usenix Secu­rity" unter dem grif­figen Titel "ReVoLTE".

Immerhin kann man aufatmen: Die Schwach­stelle ist inzwi­schen geschlossen, teilt der Bran­chen­ver­band GSMA mit. Die Forscher hatten den Dach­ver­band der digi­talen Mobil­funk­un­ter­nehmen bereits vergan­genes Jahr infor­miert, inklu­sive einer mögli­chen Problem­lö­sung. Hersteller von Netz­werk-Kompo­nenten stellten Patches bereit, die GSMA appel­lierte an alle Unter­nehmen diese Patches sofort aufzu­spielen.

Ob die prak­tisch aufge­zeigte Lücke von Angrei­fern schon ausge­nutzt wurde, ist nicht bekannt.

Kein Mithören in Echt­zeit

Die Forscher der Ruhr-Uni Bochum haben sich bei dieser Sicher­heits­lücke nicht alleine auf Forschungen im Labor beschränkt, sondern auch an verschie­denen Orten in Deutsch­land getestet, ob es in der Praxis funk­tio­nieren könnte. Um ein Tele­fonat abzu­hören, mussten sich die Forscher zunächst in derselben Funk­zelle wie der abzu­hö­rende Teil­nehmer befinden. LTE-Funk­zellen können in Städten eine Reich­weite von nur wenigen hundert Metern haben, was im länd­li­chen Bereich auf einige Kilo­meter ansteigen kann.

Mit einem "Passive Down­link Sniffer" (eine Art Empfänger) wurde ein bestimmtes Tele­fonat einfach mitge­schnitten. Das Ergebnis: Zunächst völlig unles­bare Daten. Um diese zu entschlüs­seln, war die Tele­fon­nummer des Angriffs­ziel notwendig. Diese Nummer lässt sich von geübten und erfah­renen Hackern auch über die Funk­zelle ermit­teln, spätes­tens dann ist das illegal.

Verschlüs­se­lung heraus­finden

Nachdem das Über­wa­chungs-Opfer sein Tele­fonat beendet hatte, riefen die Sicher­heits­for­scher die zu über­wa­chende Person im dritten Schritt selbst an und hielten sie in der Leitung. Während dieses zweiten Tele­fo­nats konnten die Forscher aus dem frischen Daten­ver­kehr der Basis­sta­tion die Schlüssel auslesen, welche sie brauchten, um das vorher aufge­zeich­nete Gespräch auch zu entschlüs­seln.

Man ahnt, was passiert war: Der gleiche Schlüssel wurde für weitere Anrufe erneut verwendet, sprich recy­celt. Wenn das zweite Gespräch sagen wir 2 Minuten dauerte, konnten von dem aufge­zeich­neten Gespräch auch nur 2 Minuten entschlüs­selt werden. Das heißt, diese Sicher­heits­lücke auszu­nutzen, ist etwas komplex. Und die notwen­dige Hard­ware wie der "Sniffer" kostet einen vier­stel­ligen Betrag. Die Forscher hatten mehrere Monate an ihrer Unter­su­chung gear­beitet.

Angreifer konnten unbe­merkt lauschen

Die Schwach­stelle lag in fehler­haften Konfi­gu­ra­tionen der Basis­sta­tionen des LTE-Netzes begründet. Solche Basis­sta­tionen werden welt­weit nur von wenigen großen Unter­nehmen wie beispiels­weise Huawei, Ericsson oder Nokia herge­stellt. Mobil­funk-Netz­be­treiber wie in Deutsch­land die Telekom, Voda­fone oder Telefónica (o2) bauen ihre Netze mit Kompo­nenten dieser Hersteller auf.

Diese Schwach­stelle befand sich bereits im Kern­netz. So mit dürften zahl­reiche LTE-Netze welt­weit davon betroffen sein, vermuten die Forscher. So sollen auch die Funk­zellen in Südkorea für das Problem "empfäng­lich" gewesen sein.

Gefahr erkannt, Gefahr gebannt

Wie viele Menschen heute bereits VoLTE für ihre Anrufe nutzen, ist offenbar nicht so genau bekannt. Laut Telefónica sollen in Deutsch­land aktuell rund ein Drittel der o2-Kunden diese Technik bereits nutzen. Telefónica schaltet als einziger Netz­be­treiber in allen Tarifen und bei allen Service-Provi­dern die Funk­tion VoLTE gene­rell frei, sofern das genutzte Endgerät das unter­stützt.

Die in Deutsch­land tätigen Mobil­funker Telekom, Voda­fone und Telefónica haben die Schwach­stelle gegen­über dem Nach­rich­ten­ma­gazin SPIEGEL bestä­tigt. Die Unter­nehmen wiesen darauf hin, dass diese Lücke inzwi­schen geschlossen sei. Die Forscher können das bestä­tigen. Bei aktua­li­sierten Basis­sta­tion funk­tio­niert ihr Angriff nicht mehr.

Für David Rupprecht Spre­cher der Forscher, ist es bei der Sicher­heit im Mobil­funk­netz sehr wichtig, Entwick­lung, Instal­la­tion und Nutzung in seiner Gesamt­heit zu betrachten: Man müsse die Hard­ware, die Anfor­de­rungen, die benutzten Proto­kolle bis hin zu den Imple­men­tie­rungen durch die Unter­nehmen genau betrachten.

Die Ergeb­nisse der Wissen­schaftler erlaubten es auch den 5G-Stan­dard zu aktua­li­sieren, damit dieser Fehler bei der Konfi­gu­ra­tion einer Basis­sta­tion für das 5G-Netz nicht wieder passieren kann.

Bedran Karakoc, eben­falls Student in Bochum, hat in Zusam­men­ar­beit mit den Forschern eine Android-App entwi­ckelt, die es tech­nisch affinen Personen ermög­li­chen soll, die Sicher­heit von 5G-Basis­sta­tionen selbst zu prüfen. So könnten auch mögliche Probleme in Zukunft gemeldet werden, falls es bei den Basis­sta­tionen doch wieder zu Problemen kommen sollte.

Auf einer eigenen Website (in engli­scher Sprache) haben die Forscher weitere Details erläu­tert und bieten ihre App zum Selbst­com­pi­lieren auf Github an.

Mehr zum Thema Sicherheit