Abo
  • Services:
Anzeige
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Mobiltelefonie: UMTS-Verschlüsselung ausgehebelt

Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Berliner Sicherheitsforscher haben die Verschlüsselung in UMTS-Netzen ausgehebelt. Möglicherweise hat die NSA auf diesem Weg einst das Zweithandy der Kanzlerin überwacht.

Anzeige

Auf dem Computer von Luca Melette steht die SMS, die er mir eben von seinem Handy aus geschickt hat. Im Klartext, also unverschlüsselt. Eigentlich sollte das nicht möglich sein. Wir sitzen im Büro der Security Research Labs (SRLabs) in Berlin-Mitte und unsere Handys haben hier ein 3G-Netz, also UMTS. In dem werden SMS, Telefonate und Internetdaten gut verschlüsselt übertragen. Aber Melette weiß, wie er an die Schlüssel kommt. Er fragt einfach meinen Mobilfunkanbieter danach. Es ist eine erschreckend simple, beinahe schon elegante Methode, ein Handy abzuhören. Jahrelang ist sie unentdeckt geblieben.

Die Forscher der SRLabs haben 2009 schon den Vorgängerstandard GSM erfolgreich ausgehebelt, nun also auch das als ungleich sicherer geltende UMTS. Mit Hardware im Wert von rund 400 Euro und selbst programmierter Software. Der Umweg, den Melette und Lukas Kuzmiak gefunden haben, könnte auch der sein, über den die NSA das Handy von Bundeskanzlerin Merkel abgehört hat. Nachweisbar ist das nicht, aber der Ansatz sei "zu attraktiv, als dass ihn alle Geheimdienste hätten übersehen können", sagt Karsten Nohl, der Leiter der SRLabs.

Das Problem, von dem Anfang des Monats noch die Telekom, Vodafone und O2 betroffen waren (E-Plus haben die Forscher in letzter Zeit nicht überprüft), liegt in einer Sammlung von Signalisierungsprotokollen, die unter dem Namen SS7 bekannt sind. Man kann sich SS7 als ein weltweites Netz für Provider vorstellen. Die Provider nutzen es, um die Vermittlung von Anrufen, SMS und Daten von einem Telekommunikationsnetzwerk ins nächste zu regeln. Benötigt wird das zum Beispiel für Roaming. Aber auch, um beim Übergang von einer sogenannten Vermittlungsstelle zur nächsten die Schlüssel auszutauschen, die zur Verschlüsselung einer Telefonverbindung im 3G-Netz verwendet werden. Das passiert zum Beispiel dann, wenn man im Auto telefoniert und währenddessen das Abdeckungsgebiet einer Vermittlungsstelle verlässt.

Die Forscher um Nohl stellten nun fest, dass die drei deutschen Provider bisher nicht reglementierten, wer diesen Schlüsselaustausch eigentlich beantragen kann. Das bedeutet: Jeder, der Zugang zu SS7 hat, kann theoretisch auch die Schlüssel anfordern. Er muss nur mit einem speziellen Kommando vorgeben, als Vermittlungsstelle die jeweilige Telefonverbindung übernehmen zu wollen. "Viele dieser Kommandos werden auch international beantwortet", sagt Nohl. "Deshalb können wir uns über einen SS7-Zugang einer ausländischen Firma an eine Vermittlungsstelle in Berlin wenden und ihr praktisch sagen: 'Dieses Telefongespräch klopft gerade bei uns an und will in unserem Netz weitergeführt werden. Gib uns mal den aktuellen Schlüssel, damit wir es weiterführen können' - und dann kriegen wir ihn."

Zielperson über SS7 lokalisieren, dann überwachen

Den Zugang zu SS7 reguliert die Industrievereinigung der GSM-Mobilfunkanbieter GSMA. Darin sind neben den weltweit rund 800 Providern auch Tausende andere Firmen und Forschungseinrichtungen organisiert. Viele Provider vermieten ihre Kapazitäten zum Teil an diese anderen GSMA-Mitglieder weiter, damit diese bestimmte Dienste anbieten können. Für kriminelle Organisationen oder Geheimdienste wäre es also kein Problem, auf diesem Weg ebenfalls einen Zugang zu SS7 zu bekommen.

Ebenso einfach ist es, die Telefongespräche oder SMS zu identifizieren, die man abhören oder mitlesen will. Das gilt zumindest dann, wenn man sich in der Nähe der Zielperson befindet. Besonders viele potenzielle Zielpersonen kommen im Berliner Regierungsviertel zusammen, wo auch gewisse ausländische Botschaften mit großen Antennen auf dem Dach stehen. Schon mit seinem 400-Euro-Empfänger, einem sogenannten Software Defined Radio, kann Melette UMTS-Gespräche in seiner Umgebung mitschneiden. Und sofern er die Handynummer einer Zielperson kennt, kann er mit einem kleinen Trick auch gezielt nach Verbindungen von und zu dieser Nummer suchen. Befindet sich die Zielperson nicht in der Nähe, kann Melette über ein weiteres SS7-Kommando den Standort des Handybesitzers feststellen. Er muss dafür nur die IMSI kennen. Hat er das Gerät lokalisiert, kann er sich dorthin begeben und dann wiederum die Kommunikation der Zielperson mitschneiden und entschlüsseln.

Abhören war einfacher, als es LTE noch nicht gab

NSA-tauglich ist die technische Ausrüstung von Melette nicht. Er braucht mehrere Anläufe, um seine an mich versandte SMS in der Mobilfunkzelle zu finden, abzufangen und zu entschlüsseln. Ich muss dazu auch den LTE-Empfang deaktivieren, der bei modernen Smartphones standardmäßig aktiv ist, denn LTE verwendet statt SS7 ein anderes System. Aber die Methode funktioniert grundsätzlich, wie sich auch Journalisten des WDR und der Süddeutschen Zeitung demonstrieren ließen.

Wirklich entschlüsselt haben die Berliner bisher auch nur SMS, bei Telefongesprächen gelang ihnen das noch nicht. "Den Teil haben wir noch nicht gebastelt. Da kommen Dateien heraus, für die wir noch keinen Player haben", sagt Nohl, "aber wir sehen schon mal die gewählte beziehungsweise die anrufende Nummer. Wir wissen also, dass die Gespräche sauber entschlüsselt wurden." Datenverbindungen über UMTS würden sie im Übrigen auch sehen, also mit welchen IP-Adressen sich jemand verbindet.

Ein weiterer Experte bestätigt die Schwachstelle

Diese Einschränkungen lassen den Fund unspektakulär erscheinen. Aber erstens haben andere Organisationen ganz andere Mittel, um die Technik zu entwickeln und einzusetzen. Zweitens dürfte das Aufspüren und Entschlüsseln von SMS oder auch Telefonaten vor einigen Jahren, als LTE noch nicht verbreitet war, wesentlich einfacher gewesen sein. Anders gesagt: Das alte Nokia-Handy von Angela Merkel war möglicherweise eine vergleichsweise leichte Beute.

Tobias Engel vom Chaos Computer Club beschäftigt sich schon lange mit SS7. Er bestätigt im Gespräch mit Zeit Online, was Nohl und sein Team entdeckt haben - ihm selbst ist unabhängig von den SRLabs exakt der gleiche Angriff auf UMTS-Verbindungen gelungen. Engel wird im Dezember auf dem Chaos Communication Congress in Hamburg (31C3) sogar noch weitergehende Szenarien vorstellen: Er habe einen Weg gefunden, beliebige SMS und Gespräche von überall auf der Welt abzuhören, sagt er. Die örtliche Nähe, die Melette für seine Methode braucht, benötigt er also nicht. Dass Engel der Erste ist, der diese Entdeckung gemacht hat, ist unwahrscheinlich.

Provider reagieren auf den Fund der Hacker 

eye home zur Startseite
jaykay2342 19. Dez 2014

Naja du brauchst schon SS7 zugang. Das sind viel zu viele aber nicht Jeder. Ack, im...



Anzeige

Stellenmarkt
  1. Rundfunk Berlin-Brandenburg (rbb), Köln
  2. T-Systems Multimedia Solutions GmbH, Berlin oder Rostock
  3. Deutsche Telekom AG, Berlin
  4. ibau GmbH, Münster


Anzeige
Top-Angebote
  1. 94,90€ statt 109,90€
  2. 74,90€
  3. (u. a. The Expendables 3 Extended 7,29€, Fight Club 6,56€, Predator 1-3 Collection 24,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Pangu

    Jailbreak für iOS 9.3.3 ist da

  2. Amazon Prime Air

    Lieferdrohnen könnten in Großbritannien bald starten

  3. Bildbearbeitung unmöglich

    Lightroom-App für Apple TV erschienen

  4. Quartalszahlen

    Apple-Gewinn bricht wegen schwächerer iPhone-Verkäufe ein

  5. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  6. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  7. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  8. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  9. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  10. Tim Sweeney

    "Microsoft will Steam zerstören"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Pilotprojekt EU will Open Source sicherer machen
  2. Mobilfunk Sicherheitslücke macht auch Smartphones angreifbar
  3. Master Key Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

  1. Abwarten und Tee trinken

    Silberfan | 07:45

  2. Re: Was erwarten die eigentlich?

    Wallbreaker | 07:44

  3. Re: Schade Debian...

    superdachs | 07:40

  4. Re: Frankreich hat die Vorratsdatenspeicherung

    Gerhardt_Kxx82 | 07:40

  5. Re: Noch ne Technik mit der der DHL...

    chefin | 07:40


  1. 07:28

  2. 07:13

  3. 23:40

  4. 23:14

  5. 18:13

  6. 18:06

  7. 17:37

  8. 16:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel