Angreifer können Identität anderer Handybesitzer annehmen

„Ein An­grei­fer könn­te die ge­buch­ten Diens­te nut­zen, also bei­spiels­wei­se Se­ri­en strea­men, aber der Be­sit­zer des Op­fer­han­dys müss­te dafür be­zah­len“, ver­deut­licht Prof. Dr. Thors­ten Holz vom Horst-Görtz-In­sti­tut für IT-Si­cher­heit, der die Si­cher­heits­lü­cke ge­mein­sam mit David Rupp­recht, Dr. Ka­tha­ri­na Kohls und Prof. Dr. Chris­ti­na Pöp­per auf­deck­te. Die Er­geb­nis­se stellt das Bo­chu­mer Team am 25. Fe­bru­ar 2020 auf dem Net­work Di­stri­bu­ted Sys­tem Se­cu­ri­ty Sym­po­si­um, kurz NDSS, in San Diego, USA, vor.

De­tails zu den An­grif­fen sind auch auf der Web­sei­te www.​imp4gt-at­tacks.​net ver­füg­bar.

Die Schwach­stel­le kann auch Fol­gen für Straf­ver­fol­gungs­be­hör­den haben, war­nen die For­scher. Denn An­grei­fer kön­nen nicht nur im Namen des Op­fers Käufe tä­ti­gen, son­dern auch Web­sei­ten auf­ru­fen und dort mit der Iden­ti­tät des Op­fers agie­ren – bei­spiels­wei­se ge­hei­me Fir­men­do­ku­men­te on­line stel­len. Für die Netz­be­trei­ber oder die Straf­ver­fol­gungs­be­hör­den sähe es so aus, als ob das Opfer der Täter sei.

Fast alle Han­dys und Ta­blets be­trof­fen

Von der neu ent­deck­ten Schwach­stel­le be­trof­fen sind alle Ge­rä­te, die LTE ver­wen­den, also so gut wie alle Han­dys und Ta­blets sowie auch ei­ni­ge ver­netz­te Haus­halts­ge­gen­stän­de. Be­he­ben las­sen würde sie sich nur durch ein ver­än­der­tes Hard­ware-De­sign. Das Bo­chu­mer Team setzt sich dafür ein, dass die Si­cher­heits­lü­cke im neuen Mo­bil­funk­stan­dard 5G, der der­zeit aus­ge­rollt wird, ge­schlos­sen wird. „Tech­nisch wäre das mög­lich“, er­klärt David Rupp­recht. „Die Mo­bil­funk­be­trei­ber müs­sen je­doch hö­he­re Kos­ten in Kauf neh­men, da der zu­sätz­li­che Schutz mehr Daten er­zeugt, die über­mit­telt wer­den müss­ten. Zu­sätz­lich müss­ten alle Han­dys er­neu­ert und die Ba­sis­sta­tio­nen er­wei­tert wer­den. Das wird nicht in naher Zu­kunft ein­tre­ten.“

Be­reits 2018 hatte die Grup­pe auf Si­cher­heits­lü­cken in LTE auf­merk­sam ge­macht, über die An­grei­fer Nut­zer auf fal­sche Web­sei­ten um­lei­ten und ihre Pass­wör­ter ab­grei­fen kön­nen.

An­grei­fer muss sich in der Nähe be­fin­den

Das Pro­blem liegt in dem der­zeit feh­len­den In­te­gri­täts­schutz: Zwi­schen Handy und Ba­sis­sta­ti­on wer­den zwar ver­schlüs­sel­te Da­ten­pa­ke­te ver­sen­det, deren In­hal­te nor­ma­ler­wei­se nicht ein­seh­bar sind. Trotz­dem ist es mög­lich, die aus­ge­tausch­ten Da­ten­pa­ke­te zu ver­än­dern. „Wir wis­sen nicht, was an wel­cher Stel­le im Da­ten­pa­ket steht, aber wir kön­nen Feh­ler darin pro­vo­zie­ren, indem wir Bits von 0 in 1 oder von 1 in 0 än­dern“, ver­an­schau­licht David Rupp­recht. Indem sie sol­che Feh­ler in den ver­sen­de­ten Da­ten­pa­ke­ten pro­vo­zie­ren, kön­nen die For­scher ein Handy und die Ba­sis­sta­ti­on dazu brin­gen, Nach­rich­ten zu ent­schlüs­seln oder zu ver­schlüs­seln. So kön­nen sie nicht nur den ver­schlüs­sel­ten Da­ten­ver­kehr zwi­schen Handy und Ba­sis­sta­ti­on in Klar­text um­wan­deln; sie kön­nen auch Be­feh­le an das Handy schi­cken, das diese ver­schlüs­selt und zum Pro­vi­der wei­ter­lei­tet – zum Bei­spiel den Kauf­be­fehl für ein Abon­ne­ment.

Für die An­grif­fe nut­zen die Bo­chu­mer IT-Ex­per­ten so­ge­nann­te Soft­ware De­fined Ra­di­os. Mit die­sen Ge­rä­ten kön­nen sie sich zwi­schen die Kom­mu­ni­ka­ti­on von Handy und Ba­sis­sta­ti­on schal­ten. Das Handy denkt, dass das Soft­ware De­fined Radio die Ba­sis­sta­ti­on ist; für das echte Netz wie­der­um sieht es so aus, als ob das Soft­ware De­fined Radio das Handy wäre. Damit das funk­tio­niert, muss sich der An­grei­fer je­doch in der Nähe des Op­fer­han­dys und der Ba­sis­sta­ti­on be­fin­den. Wei­te­re Infos dazu fin­den Sie unter https://​news.​rub.​de/​presseinformationen/​wissenschaft/​2020-02-17-lte-sicherheitsluecke-angreifer-koennen-identitaet-anderer-handybesitzer-annehmen. (Foto: RUB/Kra­mer)