Sicherheitslücke in 3G- und 4G-Netzen gibt Nutzerstandorte preis

Sicherheitsforscher haben auf der Konferenz Black Hat in Las Vegas Details zu einer kryptografischen Lücke im Protokoll von 3G- und 4G-Netzen öffentlich gemacht. Das Protokoll, das Verbindungen mit mobilen Geräten ermöglicht, erlaubt es Unbefugten, Telefone zu überwachen und deren Standort zu ermitteln.

Der zugrundeliegende Fehler tritt den Forschern Ravishankar Boraonkar und Lucca Hirschi zufolge bei der Authentifizierung beziehungsweise Aushandlung eines Schlüssels auf. Dadurch ist eine sichere Kommunikation zwischen Telefon und Mobilfunknetz des Anbieters nicht mehr möglich. Das Protokoll verlässt sich demnach auf einen Zähler, der sogenannte Wiederholungsangriffe verhindern soll. Der Zähler sei jedoch nicht ausreichend gesichert.

Als Folge kann ein Angreifer Teile des Datenverkehrs überwachen, beispielsweise wenn Anrufe getätigt und Textnachrichten versendet werden. Dadurch wiederum erhält er Zugriff auf den Standort des Mobiltelefons. Die Forscher betonen jedoch, dass es nicht möglich ist, Telefonate abzuhören oder Nachrichten mitzulesen.

Borgaonkar erklärte gegenüber ZDNet USA, dass sich die Anfälligkeit für die Entwicklung neuer Abhörgeräte, sogenannter IMSI-Catcher eignet. Sie werden von Polizei- und Strafverfolgungsbehörden für verdeckte Überwachungsmaßnahmen eingesetzt. Bisher funktionieren sie allerdings nur in 2G-Netzen – die Ermittler müssen ein zu überwachendes Gerät also zuerst dazu bringen, in ein 2G-Netz zu wechseln, bevor sie dessen Standort ermitteln können.

Der Forscher schließt auch einen Missbrauch der Sicherheitslücke für Straftaten wie Stalking und Belästigung nicht aus, da die Kosten für die benötigte Hardware gering und das Software-Setup einfach sei. Auch das Anlegen von Nutzerprofilen für Werbezwecke sei denkbar. Die Hardwarekosten schätzte Borgaonkar auf 1500 Dollar.

Er betonte zudem, dass seine deutschen Kollegen erfolgreich Proof-of-Concept-Angriffe auf mobile Netzwerke in Europa durchgeführt hätten. Da die Schwachstelle in den Standards für 3G- und 4G-Netze stecke, seien alle Mobilfunkanbieter weltweit betroffen sowie die Mehrheit der modernen Geräte. Mobile Betriebssysteme böten zudem keinen Schutz vor funkbasierten Angriffen.

Das für die Standards und das anfällige Protokoll verantwortliche Konsortium 3GPP räumte den Bug ein. Laut den Forschern hofft es, dass der kommende 5G-Standard das Problem beseitigen wird.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Tag ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

2 Tagen ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago