Wissenschaftler des Horst-Görtz-Instituts für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum (RUB) haben die Verschlüsselungsalgorithmen des European Telecommunications Standards Institute (ETSI) geknackt – und nach eigenen Angaben erhebliche Schwachstellen gefunden. In weniger als einer Stunde und mit einfacher Ausrüstung seien abgefangene Telefongespräche entschlüsselt worden.
Satellitentelefone kommen vor allem in Gegenden zum Einsatz, in denen eine Mobilfunkversorgung noch nicht gewährleistet ist. Dazu gehören Kriegsgebiete und Entwicklungsländer. Auch auf hoher See werden sie genutzt.
Das Telefon verbindet sich dabei via Funk mit einem Satelliten. Dieser leitet den ankommenden Anruf weiter an eine Funkstelle am Boden. Von dort aus wird das Gespräch in das öffentliche Telefonnetz eingespeist. Bislang galt dieser Weg den Forschern zufolge als abhörsicher – bei einer Verschlüsselung mit den Algorithmen A5-GMR-1 und A5-GMR-2 des ETSI.
Für das Projekt arbeitete eine interdisziplinäre Forschungsgruppe aus den Fachbereichen Embedded Security und Systemsicherheit zusammen. Die Wissenschaftler wählten zwei beliebige Satellitentelefone aus, luden ein Software-Update für das jeweilige Telefon von der Website des Herstellers herunter und rekonstruierten den Verschlüsselungsmechanismus.
Nach Angaben der Forscher weist der Standard GMR-1 Ähnlichkeiten mit GSM auf. „Weil der schon geknackt wurde, konnten wir hier die Methode abwandeln und für unseren Angriff übernehmen“, erklärte Benedikt Driessen vom Lehrstuhl für Eingebettete Sicherheit an der RUB. Um ihren Ansatz in der Praxis zu testen, schnitten die Wissenschaftler eigene Gespräche mit. Besonders überraschend sei gewesen, dass einfachste Schutzmaßnahmen fehlten, die die Arbeit deutlich hätten erschweren können.
Verschlüsselungsmechanismen sind eigentlich dazu da, die Privatsphäre von Nutzern zu schützen. „Unsere Ergebnisse zeigen, dass die Nutzung von Satellitentelefonen Gefahren birgt und die derzeitigen Verschlüsselungen nicht ausreichen“, betonte Ralf Hund vom Lehrstuhl für Systemsicherheit an der RUB. Eine Alternative zu den geltenden Standards gebe es bislang aber nicht.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.