• IT-Karriere:
  • Services:

GPRS-Hacking

Netzbetreiber müssten nur die Verschlüsselung einschalten

Karsten Nohl und Luca Melette haben mit Wardriving your Country demonstriert, dass Mobilfunkverbindungen so unsicher sein können wie ein offenes WLAN. Die Netzbetreiber könnten jedoch mit wenig Aufwand die Sicherheit verbessern, heißt es.

Artikel veröffentlicht am ,
Auf dem Chaos Communication Camp 2011 demonstrierte Karsten Nohl die Angreifbarkeit von GPRS.
Auf dem Chaos Communication Camp 2011 demonstrierte Karsten Nohl die Angreifbarkeit von GPRS. (Bild: Andreas Sebayang/Golem.de)

Dass GSM-Gespräche unsicher sein können, ist bereits seit einiger Zeit bekannt. Karsten Nohl und Luca Melette von den SR Labs haben allerdings entdeckt, dass auch Datenverkehr auf der Basis des neueren GPRS mitunter sehr unsicher ist. Wie angekündigt, wurde der GPRS-Hack im Vortrag GPRS Intercept: Wardriving Phone Networks erklärt und demonstriert. Es ist zwar grundsätzlich eine Verschlüsselung bei GPRS vorgesehen, allerdings nutzen einige Netzbetreiber den rund zehn Jahre alten Standard einfach offen (GEA/0, ohne Verschlüsselung). Für den Netzbetreiber hat das Vorteile. So kann etwa leichter beurteilt werden, ob die eigenen Netze für Skype oder Chatprogramme genutzt werden, sagte Nohl. Netzbetreiber verbieten oftmals die Nutzung von alternativen Kommunikationsanwendungen.

  • Karsten Nohl empfiehlt Anwendungsentwicklern auch bei mobilen Apps die Verwendung von SSL.
  • Wunschliste: Mobilfunknetze können sicher gemacht werden.
Karsten Nohl empfiehlt Anwendungsentwicklern auch bei mobilen Apps die Verwendung von SSL.
Inhalt:
  1. GPRS-Hacking: Netzbetreiber müssten nur die Verschlüsselung einschalten
  2. GPRS ist prinzipiell abhörbar
  3. GPRS-Datensicherheit hätte längst verbessert werden können

Ein Grundproblem bei GPRS: Der Anwender kann den GPRS-/Edge-Verbindungen kaum ausweichen. Sobald ein 3G-Netzwerk nicht mehr verfügbar ist, wird auf das ältere Netzwerk umgeschaltet. Manuelle Einstellungen, dass nur 3G-Netzwerke genutzt werden, gibt es meist nicht. In ländlichen Umgebungen ist das auch nicht sinnvoll. Dort kann der Anwender nur auf 2G-Netze zugreifen.

Offenes GPRS ist so unsicher wie ein offenes WLAN

Wenn der Anwender also das Netz eines Betreibers verwende, das nicht verschlüsselt ist, sei er so sicher wie in einem offenen WLAN. Verbindungen zur Außenwelt sollten also zusätzlich per SSL abgesichert werden. Allerdings "vergessen" einige Anwendungen auf Mobiltelefonen SSL zu aktivieren, so Nohl. Etliche mobile Anwendungen, wie etwa die mobile Facebook-Webseite, nutzten SSL nicht. Nohl forderte Anwendungsentwickler auf, im Internet gängige Verschlüsselungen zu benutzen. E-Mail-Programme und kritische Anwendungen benutzen meist SSL.

Aber auch Netzbetreiber, die GPRS-Datenströme verschlüsseln, bieten nicht per se sichere Netzwerke. Die alte Technik ist anfällig für Angriffe. Zudem setzen Netzbetreiber in der Regel niedrige Sicherheitsstufen ein. Namentlich sind das GEA/1 und GEA/2 mit einer Schlüssellänge von 64 Bit und einer Proprietary Stream Cipher mit 96 oder 125 Bit. Wenige Netze setzen laut Nohl auf das sicherere GEA/3. Die Schlüssellänge ist gleich, die Cipher wird aber in einer 128-Bit-Ausführung benutzt.

Stellenmarkt
  1. itsc GmbH, Hannover
  2. Swabian Instruments GmbH, Stuttgart

Einen 128-Bit-Schlüssel gibt es erst mit GEA/4, doch das benutzt bisher kein einziger Netzbetreiber. Laut Nohl hinken Netzbetreiber mit ihren Einstellungen damit "zwei Schritte hinter normaler Sicherheit" hinterher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
GPRS ist prinzipiell abhörbar 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 27,90€
  2. 349,00€
  3. (aktuell u. a. Deepcool Castle 240EX Wasserkühlung für 109,90€, Asus VG248QZ LED-Monitor 169...
  4. (u. a.Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)

Stiffler 12. Aug 2011

Aha, "Netzbetreiber müssten nur die Verschlüsselung einschalten"! Hmm, und für IPv6 muss...


Folgen Sie uns
       


Tolino Vision 5 HD und Epos 2 im Hands On

Tolino zeigt mit Vision 5 HD und Epos 2 zwei neue Oberklasse-E-Book-Reader. Der Epos 2 kann durch ein besonders dünnes Display begeistern.

Tolino Vision 5 HD und Epos 2 im Hands On Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Elektroauto Volkswagen ID.3 wird auch in Dresden montiert
  2. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  3. Elektroauto von VW Es hat sich bald ausgegolft

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

Tesla-Fabrik in Brandenburg: Remote, Germany
Tesla-Fabrik in Brandenburg
Remote, Germany

Elon Musk steht auf Berlin, doch industrielle Großprojekte sind nicht die Stärke der Region. Ausgerechnet in die Nähe der ewigen Flughafen-Baustelle BER will Tesla seine Gigafactory 4 platzieren. Was spricht für und gegen den Standort Berlin/Brandenburg?
Eine Analyse von Dirk Kunde

  1. Gigafactory Tesla soll 4 Milliarden Euro in Brandenburg investieren
  2. 7.000 Arbeitsplätze Tesla will Gigafactory bei Berlin bauen
  3. Irreführende Angaben Wettbewerbszentrale verklagt Tesla wegen Autopilot-Werbung

    •  /