Sicherheitslücke in 3G- und 4G-Netzen gibt Nutzerstandorte preis

Sicherheitsforscher haben auf der Konferenz Black Hat in Las Vegas Details zu einer kryptografischen Lücke im Protokoll von 3G- und 4G-Netzen öffentlich gemacht. Das Protokoll, das Verbindungen mit mobilen Geräten ermöglicht, erlaubt es Unbefugten, Telefone zu überwachen und deren Standort zu ermitteln.

Der zugrundeliegende Fehler tritt den Forschern Ravishankar Boraonkar und Lucca Hirschi zufolge bei der Authentifizierung beziehungsweise Aushandlung eines Schlüssels auf. Dadurch ist eine sichere Kommunikation zwischen Telefon und Mobilfunknetz des Anbieters nicht mehr möglich. Das Protokoll verlässt sich demnach auf einen Zähler, der sogenannte Wiederholungsangriffe verhindern soll. Der Zähler sei jedoch nicht ausreichend gesichert.

Als Folge kann ein Angreifer Teile des Datenverkehrs überwachen, beispielsweise wenn Anrufe getätigt und Textnachrichten versendet werden. Dadurch wiederum erhält er Zugriff auf den Standort des Mobiltelefons. Die Forscher betonen jedoch, dass es nicht möglich ist, Telefonate abzuhören oder Nachrichten mitzulesen.

Borgaonkar erklärte gegenüber ZDNet USA, dass sich die Anfälligkeit für die Entwicklung neuer Abhörgeräte, sogenannter IMSI-Catcher eignet. Sie werden von Polizei- und Strafverfolgungsbehörden für verdeckte Überwachungsmaßnahmen eingesetzt. Bisher funktionieren sie allerdings nur in 2G-Netzen – die Ermittler müssen ein zu überwachendes Gerät also zuerst dazu bringen, in ein 2G-Netz zu wechseln, bevor sie dessen Standort ermitteln können.

Der Forscher schließt auch einen Missbrauch der Sicherheitslücke für Straftaten wie Stalking und Belästigung nicht aus, da die Kosten für die benötigte Hardware gering und das Software-Setup einfach sei. Auch das Anlegen von Nutzerprofilen für Werbezwecke sei denkbar. Die Hardwarekosten schätzte Borgaonkar auf 1500 Dollar.

Er betonte zudem, dass seine deutschen Kollegen erfolgreich Proof-of-Concept-Angriffe auf mobile Netzwerke in Europa durchgeführt hätten. Da die Schwachstelle in den Standards für 3G- und 4G-Netze stecke, seien alle Mobilfunkanbieter weltweit betroffen sowie die Mehrheit der modernen Geräte. Mobile Betriebssysteme böten zudem keinen Schutz vor funkbasierten Angriffen.

Das für die Standards und das anfällige Protokoll verantwortliche Konsortium 3GPP räumte den Bug ein. Laut den Forschern hofft es, dass der kommende 5G-Standard das Problem beseitigen wird.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago