Die Mobilfunknetze 3G und 4G haben eine kryptografische Lücke. Das haben Sicherheitsforscher auf der Konferenz Black Hat in Las Vegas Details demonstriert. Die Protokolle, die die Verbindungen mit mobilen Geräten ermöglicht, können dazu missbraucht werden, um Telefone zu überwachen und den Standort der Geräte zu ermitteln.
Bei der Authentifizierung beziehungsweise der Aushandlung eines Schlüssels tritt dieser Fehler auf, wie die Sicherheitsexperten Ravishankar Boraonkar und Lucca Hirschi melden. Das Leck hebelt die sichere Kommunikation zwischen Telefon und Mobilfunknetz des Anbieters aus. So würde sich das Protokoll auf einen Zähler verlassen, der Wiederholungsangriffe verhindern soll. Jedoch sei dieser Zähler offen für Manipulationen.
Ein Angreifer kann so den Datenverkehr teilweise überwachen. Das sei laut den Forschern zum Beispiel dann der Fall, wenn Anrufe getätigt oder Textnachrichten versendet werden. Auch ist damit Zugriff auf den Standort des Mobiltelefons möglich. Es sei jedoch nicht möglich, Telefonate abzuhören oder Nachrichten mitzulesen, betonen die Forscher.
Borgaonkar erklärte gegenüber ZDNet USA, dass sich diese Lücke für sogenannter IMSI-Catcher eignet. Sie werden von Polizei- und Strafverfolgungsbehörden für verdeckte Überwachungsmaßnahmen eingesetzt. Bisher funktionieren sie allerdings nur in 2G-Netzen – die Ermittler müssen ein zu überwachendes Gerät also zuerst dazu bringen, in ein 2G-Netz zu wechseln, bevor der Standort ermittelt werden kann.
Der Forscher schließt auch einen Missbrauch der Sicherheitslücke für Straftaten wie Stalking und Belästigung nicht aus. Kosten für die benötigte Hardware liegen laut Schätzung der Sicherheitsexperten bei etwa 1500 Dollar und auch das Software-Setup lasse sich vergleichsweise einfach einrichten. Auch das Anlegen von Nutzerprofilen für Werbezwecke sei denkbar.
Er betonte zudem, dass seine deutschen Kollegen erfolgreich Proof-of-Concept-Angriffe auf mobile Netzwerke in Europa durchgeführt hätten. Da die Schwachstelle in den Standards für 3G- und 4G-Netze stecke, seien alle Mobilfunkanbieter weltweit betroffen sowie die allermeisten Geräte. Mobile Betriebssysteme bieten laut seiner Darstellung keinen Schutz vor funkbasierten Angriffen.
Das für die Standards und das Protokoll verantwortliche Konsortium 3GPP räumte den Bug ein. Laut den Forschern hofft es, dass der kommende 5G-Standard das Problem beseitigen wird.
[mit Material von Stefan Beiersmann, ZDNet.de]
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
