Sicherheitslücke in 3G- und 4G-Netzen gibt Nutzerstandorte preis

Sicherheitsforscher haben auf der Konferenz Black Hat in Las Vegas Details zu einer kryptografischen Lücke im Protokoll von 3G- und 4G-Netzen öffentlich gemacht. Das Protokoll, das Verbindungen mit mobilen Geräten ermöglicht, erlaubt es Unbefugten, Telefone zu überwachen und deren Standort zu ermitteln.

Der zugrundeliegende Fehler tritt den Forschern Ravishankar Boraonkar und Lucca Hirschi zufolge bei der Authentifizierung beziehungsweise Aushandlung eines Schlüssels auf. Dadurch ist eine sichere Kommunikation zwischen Telefon und Mobilfunknetz des Anbieters nicht mehr möglich. Das Protokoll verlässt sich demnach auf einen Zähler, der sogenannte Wiederholungsangriffe verhindern soll. Der Zähler sei jedoch nicht ausreichend gesichert.

Als Folge kann ein Angreifer Teile des Datenverkehrs überwachen, beispielsweise wenn Anrufe getätigt und Textnachrichten versendet werden. Dadurch wiederum erhält er Zugriff auf den Standort des Mobiltelefons. Die Forscher betonen jedoch, dass es nicht möglich ist, Telefonate abzuhören oder Nachrichten mitzulesen.

Borgaonkar erklärte gegenüber ZDNet USA, dass sich die Anfälligkeit für die Entwicklung neuer Abhörgeräte, sogenannter IMSI-Catcher eignet. Sie werden von Polizei- und Strafverfolgungsbehörden für verdeckte Überwachungsmaßnahmen eingesetzt. Bisher funktionieren sie allerdings nur in 2G-Netzen – die Ermittler müssen ein zu überwachendes Gerät also zuerst dazu bringen, in ein 2G-Netz zu wechseln, bevor sie dessen Standort ermitteln können.

Der Forscher schließt auch einen Missbrauch der Sicherheitslücke für Straftaten wie Stalking und Belästigung nicht aus, da die Kosten für die benötigte Hardware gering und das Software-Setup einfach sei. Auch das Anlegen von Nutzerprofilen für Werbezwecke sei denkbar. Die Hardwarekosten schätzte Borgaonkar auf 1500 Dollar.

Er betonte zudem, dass seine deutschen Kollegen erfolgreich Proof-of-Concept-Angriffe auf mobile Netzwerke in Europa durchgeführt hätten. Da die Schwachstelle in den Standards für 3G- und 4G-Netze stecke, seien alle Mobilfunkanbieter weltweit betroffen sowie die Mehrheit der modernen Geräte. Mobile Betriebssysteme böten zudem keinen Schutz vor funkbasierten Angriffen.

Das für die Standards und das anfällige Protokoll verantwortliche Konsortium 3GPP räumte den Bug ein. Laut den Forschern hofft es, dass der kommende 5G-Standard das Problem beseitigen wird.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago