Sicherheitslücken bei Mobilfunk-Anrufen
Telefonate über den Mobilfunkstandard Voice-over-LTE sind längst nicht so sicher wie gedacht. Doch es gibt Abhilfe.

Foto: PantherMedia.net/halfpoint
Eigentlich sollten sie abhörsicher sein: die verschlüsselten Anrufe über die vierte Mobilfunkgeneration LTE. Dass das jedoch nicht immer der Fall ist, zeigten jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum. Sie konnten Inhalte beliebiger Telefonanrufe entschlüsseln. Voraussetzung: Sie befanden sich mit dem Opfer in derselben Funkzelle und riefen das Handy kurz nach dem abzuhörenden Anruf selbst an. Dabei nutzten sie einen Fehler aus, den einige Hersteller bei der Implementierung der Basisstationen gemacht hatten.
Die Ergebnisse veröffentlichte das HGI-Team um David Rupprecht, Katharina Kohls und Thorsten Holz vom Lehrstuhl für Systemsicherheit gemeinsam mit Christina Pöpper von der New York University Abu Dhabi beim Usenix Security Symposium, das ab heute für zwei Tage als Onlinekonferenz stattfindet. Die betroffenen Mobilfunk- und Handyanbieter sowie Netzausrüster wurden rechtzeitig vor der Veröffentlichung kontaktiert. Laut HGI sollte die Schwachstelle mittlerweile weitestgehend behoben sein.
Gleiche Schlüssel als Schwachstelle
Die Schwachstelle betrifft Voice-over-LTE, den Telefonstandard, der für nahezu alle Mobilfunkanrufe verwendet wird, wenn diese nicht über spezielle Messengerdienste erfolgen. Telefonieren zwei Personen miteinander, wird dabei ein Schlüssel erzeugt, um die Unterhaltung zu verschlüsseln.
„Das Problem war, dass der gleiche Schlüssel auch für weitere Anrufe wiederverwendet wurde“, erklärt Forscher David Rupprecht. Rief ein Angreifer also eine der beiden Personen kurz nach ihrem Gespräch an und zeichnete währenddessen den verschlüsselten Verkehr derselben Funkzelle auf, gelangte er in den Besitz des gleichen Schlüssels, der die vorherige Unterhaltung sichern sollte.
„Der Angreifer musste das Opfer in ein Gespräch verwickeln“, so Rupprecht. „Je länger er mit dem Opfer telefonierte, desto mehr konnte er von dem vorherigen Gespräch entschlüsseln.“ Sprachen Angreifer und Opfer beispielsweise 5 min miteinander, konnte der Angreifer später auch 5 min der vorangegangenen Unterhaltung decodieren.
80 % aller Basisstationen betroffen
Um die Verbreitung der Sicherheitslücke zu erfassen, überprüften die IT-Expertinnen und -Experten in Stichproben verschiedene Funkzellen in Deutschland. Die Sicherheitslücke betraf 80 % der getesteten Funkzellen. Mittlerweile haben Netzausrüster und Mobilfunkanbieter die Software der Basisstationen aktualisiert, um das Problem zu beheben.
Rupprecht gibt Entwarnung: „Wir haben anschließend quer über Deutschland verteilt mehrere Funkzellen stichprobenartig getestet und seither keine Probleme mehr entdecken können“, sagt er. Dennoch sei nicht ausgeschlossen, dass es irgendwo auf der Welt noch Funkzellen gibt, in denen die Schwachstelle auftritt.
App meldet Sicherheitslücken
Um sie aufzuspüren, hat die Bochumer Gruppe eine App für Android-Geräte entwickelt. Technisch versierte Personen können damit helfen, weltweit nach Funkzellen zu suchen, die die Sicherheitslücke noch enthalten, und diese an das HGI-Team zu melden. Die Forscherinnen und Forscher leiten die Informationen an die weltweite Vereinigung aller Mobilfunknetzanbieter, die GSMA, weiter, die dafür sorgt, dass die Basisstationen upgedatet werden. Weitere Informationen zur App stellen die Forscher auf der Webseite www.revolte-attack.net bereit.
„Voice-over-LTE wird seit sechs Jahren verwendet“, sagt Rupprecht. „Ob Angreifer die Sicherheitslücke in der Vergangenheit ausgenutzt haben, können wir nicht überprüfen.“ Er will sich jetzt vor allem dafür einsetzen, dass der neue Mobilfunkstandard 5G modifiziert wird, damit das gleiche Problem bei der Errichtung von 5G-Basisstationen nicht wieder auftreten kann.