31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone

Auf dem Jahreskongress 31C3 des Chaos Computer Clubs (CCC) haben Sicherheitsexperten Angriffe auf Mobiltelefone beschrieben und vorgeführt, die Schwächen der Protokollsammlung SS7 ausnutzen. Diese Protokolle und Verfahren wurden vor Jahrzehnten zunächst für die Festnetztelefonie entwickelt und kommen heute auch in Mobilfunknetzen zum Einsatz. Mehrere Schwachstellen erlauben es, Anrufe oder SMS umzuleiten sowie mitzuschneiden. Auch die weltweite Ortung von Teilnehmern ist möglich.

SS7 kennt kaum Sicherheitsvorkehrungen, da es in einer Zeit konzipiert wurde, in der Telefonie über relativ wenige und staatliche kontrollierte Betreiber erfolgte. Inzwischen aber kann eine Vielzahl von Providern weltweit Daten über diese Protokolle abrufen und sie an andere Unternehmen weitergeben, etwa den Anbieter eines SMS-Dienstes. Hacker wie auch Geheimdienste können sich über solche Organisationen Informationen besorgen und in die Übertragungswege eingreifen.

Beim viertägigen Hackerkongress des CCC wurden Angriffsszenarios von Tobias Engel und Karsten Nohl demonstriert, die beide unabhängig voneinander auf SS7-Schwachstellen stießen. Engel bezeichnete die Lücken als gravierend und zeigte beispielhaft eine Funktion zur Umleitung von Anrufen, die auch das heimliche Abhören erlaubt. Er erwähnte die tatsächliche Ausnutzung der Methode, die bei einem ukrainischen Netzbetreiber auffiel.

Schon früher in diesem Monat wurde bekannt, dass über SS7 die Verschlüsselung im UMTS-Netz umgangen werden kann. Karsten Nohl und seine Mitarbeiter deckten auf, dass dadurch Telefonate abgehört und SMS mitgelesen werden können. Das Team verschaffte sich Zugang zum SS7-Netz im Ausland und erhielt darüber die Verschlüsselungsdaten für das Handy eines Bundestagsabgeordneten.

Dieser Schwachstelle liegt zugrunde, dass die Netzanbieter über SS7-Protokolle unter anderem Informationen mit Roaming-Partnern austauschen. Auch die Weitergabe von Verschlüsselungsdaten erfolgt über das Protokoll, um Gespräche von einer Vermittlungsstelle an die nächste weiterzugeben. Viele Netzbetreiber übermitteln die Verschlüsselungsdaten sogar automatisiert an Telefongesellschaften weltweit.

Vodafone, Deutsche Telekom und Telefónica Deutschland erklärten inzwischen, bestimmte Lücken geschlossen beziehungsweise Maßnahmen dazu eingeleitet zu haben. Ein Telekom-Sprecher merkte jedoch an, es handle sich um ein Problem der gesamten Mobilfunkbranche. Eine dauerhafte Lösung könne daher nur die gesamte Industrie umsetzen. Maßnahmen einzelner Mobilfunkanbieter seien nur „ein Pflaster“.

Karsten Nohl stellte außerdem die Android-App SnoopSnitch vor, die bestimmte Angriffe auf Smartphones erkennen und vor ihnen warnen kann. Der Einsatz der quelloffenen und kostenlosen Anwendung ist allerdings derzeit auf bestimmte gerootete Geräte begrenzt, die mit Stock-Android 4.1 oder höher laufen und über ein Qualcomm-Chipset verfügen.