Abo
  • Services:
Anzeige
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Mobiltelefonie: UMTS-Verschlüsselung ausgehebelt

Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Berliner Sicherheitsforscher haben die Verschlüsselung in UMTS-Netzen ausgehebelt. Möglicherweise hat die NSA auf diesem Weg einst das Zweithandy der Kanzlerin überwacht.

Anzeige

Auf dem Computer von Luca Melette steht die SMS, die er mir eben von seinem Handy aus geschickt hat. Im Klartext, also unverschlüsselt. Eigentlich sollte das nicht möglich sein. Wir sitzen im Büro der Security Research Labs (SRLabs) in Berlin-Mitte und unsere Handys haben hier ein 3G-Netz, also UMTS. In dem werden SMS, Telefonate und Internetdaten gut verschlüsselt übertragen. Aber Melette weiß, wie er an die Schlüssel kommt. Er fragt einfach meinen Mobilfunkanbieter danach. Es ist eine erschreckend simple, beinahe schon elegante Methode, ein Handy abzuhören. Jahrelang ist sie unentdeckt geblieben.

Die Forscher der SRLabs haben 2009 schon den Vorgängerstandard GSM erfolgreich ausgehebelt, nun also auch das als ungleich sicherer geltende UMTS. Mit Hardware im Wert von rund 400 Euro und selbst programmierter Software. Der Umweg, den Melette und Lukas Kuzmiak gefunden haben, könnte auch der sein, über den die NSA das Handy von Bundeskanzlerin Merkel abgehört hat. Nachweisbar ist das nicht, aber der Ansatz sei "zu attraktiv, als dass ihn alle Geheimdienste hätten übersehen können", sagt Karsten Nohl, der Leiter der SRLabs.

Das Problem, von dem Anfang des Monats noch die Telekom, Vodafone und O2 betroffen waren (E-Plus haben die Forscher in letzter Zeit nicht überprüft), liegt in einer Sammlung von Signalisierungsprotokollen, die unter dem Namen SS7 bekannt sind. Man kann sich SS7 als ein weltweites Netz für Provider vorstellen. Die Provider nutzen es, um die Vermittlung von Anrufen, SMS und Daten von einem Telekommunikationsnetzwerk ins nächste zu regeln. Benötigt wird das zum Beispiel für Roaming. Aber auch, um beim Übergang von einer sogenannten Vermittlungsstelle zur nächsten die Schlüssel auszutauschen, die zur Verschlüsselung einer Telefonverbindung im 3G-Netz verwendet werden. Das passiert zum Beispiel dann, wenn man im Auto telefoniert und währenddessen das Abdeckungsgebiet einer Vermittlungsstelle verlässt.

Die Forscher um Nohl stellten nun fest, dass die drei deutschen Provider bisher nicht reglementierten, wer diesen Schlüsselaustausch eigentlich beantragen kann. Das bedeutet: Jeder, der Zugang zu SS7 hat, kann theoretisch auch die Schlüssel anfordern. Er muss nur mit einem speziellen Kommando vorgeben, als Vermittlungsstelle die jeweilige Telefonverbindung übernehmen zu wollen. "Viele dieser Kommandos werden auch international beantwortet", sagt Nohl. "Deshalb können wir uns über einen SS7-Zugang einer ausländischen Firma an eine Vermittlungsstelle in Berlin wenden und ihr praktisch sagen: 'Dieses Telefongespräch klopft gerade bei uns an und will in unserem Netz weitergeführt werden. Gib uns mal den aktuellen Schlüssel, damit wir es weiterführen können' - und dann kriegen wir ihn."

Zielperson über SS7 lokalisieren, dann überwachen

Den Zugang zu SS7 reguliert die Industrievereinigung der GSM-Mobilfunkanbieter GSMA. Darin sind neben den weltweit rund 800 Providern auch Tausende andere Firmen und Forschungseinrichtungen organisiert. Viele Provider vermieten ihre Kapazitäten zum Teil an diese anderen GSMA-Mitglieder weiter, damit diese bestimmte Dienste anbieten können. Für kriminelle Organisationen oder Geheimdienste wäre es also kein Problem, auf diesem Weg ebenfalls einen Zugang zu SS7 zu bekommen.

Ebenso einfach ist es, die Telefongespräche oder SMS zu identifizieren, die man abhören oder mitlesen will. Das gilt zumindest dann, wenn man sich in der Nähe der Zielperson befindet. Besonders viele potenzielle Zielpersonen kommen im Berliner Regierungsviertel zusammen, wo auch gewisse ausländische Botschaften mit großen Antennen auf dem Dach stehen. Schon mit seinem 400-Euro-Empfänger, einem sogenannten Software Defined Radio, kann Melette UMTS-Gespräche in seiner Umgebung mitschneiden. Und sofern er die Handynummer einer Zielperson kennt, kann er mit einem kleinen Trick auch gezielt nach Verbindungen von und zu dieser Nummer suchen. Befindet sich die Zielperson nicht in der Nähe, kann Melette über ein weiteres SS7-Kommando den Standort des Handybesitzers feststellen. Er muss dafür nur die IMSI kennen. Hat er das Gerät lokalisiert, kann er sich dorthin begeben und dann wiederum die Kommunikation der Zielperson mitschneiden und entschlüsseln.

Abhören war einfacher, als es LTE noch nicht gab

NSA-tauglich ist die technische Ausrüstung von Melette nicht. Er braucht mehrere Anläufe, um seine an mich versandte SMS in der Mobilfunkzelle zu finden, abzufangen und zu entschlüsseln. Ich muss dazu auch den LTE-Empfang deaktivieren, der bei modernen Smartphones standardmäßig aktiv ist, denn LTE verwendet statt SS7 ein anderes System. Aber die Methode funktioniert grundsätzlich, wie sich auch Journalisten des WDR und der Süddeutschen Zeitung demonstrieren ließen.

Wirklich entschlüsselt haben die Berliner bisher auch nur SMS, bei Telefongesprächen gelang ihnen das noch nicht. "Den Teil haben wir noch nicht gebastelt. Da kommen Dateien heraus, für die wir noch keinen Player haben", sagt Nohl, "aber wir sehen schon mal die gewählte beziehungsweise die anrufende Nummer. Wir wissen also, dass die Gespräche sauber entschlüsselt wurden." Datenverbindungen über UMTS würden sie im Übrigen auch sehen, also mit welchen IP-Adressen sich jemand verbindet.

Ein weiterer Experte bestätigt die Schwachstelle

Diese Einschränkungen lassen den Fund unspektakulär erscheinen. Aber erstens haben andere Organisationen ganz andere Mittel, um die Technik zu entwickeln und einzusetzen. Zweitens dürfte das Aufspüren und Entschlüsseln von SMS oder auch Telefonaten vor einigen Jahren, als LTE noch nicht verbreitet war, wesentlich einfacher gewesen sein. Anders gesagt: Das alte Nokia-Handy von Angela Merkel war möglicherweise eine vergleichsweise leichte Beute.

Tobias Engel vom Chaos Computer Club beschäftigt sich schon lange mit SS7. Er bestätigt im Gespräch mit Zeit Online, was Nohl und sein Team entdeckt haben - ihm selbst ist unabhängig von den SRLabs exakt der gleiche Angriff auf UMTS-Verbindungen gelungen. Engel wird im Dezember auf dem Chaos Communication Congress in Hamburg (31C3) sogar noch weitergehende Szenarien vorstellen: Er habe einen Weg gefunden, beliebige SMS und Gespräche von überall auf der Welt abzuhören, sagt er. Die örtliche Nähe, die Melette für seine Methode braucht, benötigt er also nicht. Dass Engel der Erste ist, der diese Entdeckung gemacht hat, ist unwahrscheinlich.

Provider reagieren auf den Fund der Hacker 

eye home zur Startseite
jaykay2342 19. Dez 2014

Naja du brauchst schon SS7 zugang. Das sind viel zu viele aber nicht Jeder. Ack, im...



Anzeige

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Eurofins NSC Finance Germany GmbH, Wesseling, Köln
  3. Vaillant GmbH, Remscheid
  4. Bosch Software Innovations GmbH, Waiblingen


Anzeige
Spiele-Angebote
  1. 9,49€
  2. (-15%) 16,99€
  3. 9,49€ statt 19,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Großbatterien

    Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern

  2. Traditionsbruch

    Apple will KI-Forschungsergebnisse veröffentlichen

  3. Cloudspeicher

    Dropbox plant Offline-Modus für Mobilanwender

  4. Apple

    Akkuprobleme des iPhone 6S betreffen mehr Geräte als gedacht

  5. Zero G

    Schwerelos im Quadrocopter

  6. Streaming

    Youtube hat 1 Milliarde US-Dollar an Musikindustrie gezahlt

  7. US-Wahl 2016

    Nein, Big Data erklärt Donald Trumps Wahlsieg nicht

  8. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  9. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  10. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

  1. Re: Digitale Zähler und "Nachtarif" würden das...

    M.P. | 09:42

  2. Re: GEMA nur Deutschland?

    xerxes300 | 09:42

  3. Re: Klar, und der TÜV prüft dann Millionen Zeilen...

    RicoBrassers | 09:41

  4. Re: Es ist einzig das hirnrissige ....

    Trollversteher | 09:38

  5. Re: Propaganda und Lügen

    Kondratieff | 09:36


  1. 09:05

  2. 07:34

  3. 07:22

  4. 07:14

  5. 18:49

  6. 17:38

  7. 17:20

  8. 16:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel