Abo
  • Services:
Anzeige
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Mobiltelefonie: UMTS-Verschlüsselung ausgehebelt

Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Berliner Sicherheitsforscher haben die Verschlüsselung in UMTS-Netzen ausgehebelt. Möglicherweise hat die NSA auf diesem Weg einst das Zweithandy der Kanzlerin überwacht.

Anzeige

Auf dem Computer von Luca Melette steht die SMS, die er mir eben von seinem Handy aus geschickt hat. Im Klartext, also unverschlüsselt. Eigentlich sollte das nicht möglich sein. Wir sitzen im Büro der Security Research Labs (SRLabs) in Berlin-Mitte und unsere Handys haben hier ein 3G-Netz, also UMTS. In dem werden SMS, Telefonate und Internetdaten gut verschlüsselt übertragen. Aber Melette weiß, wie er an die Schlüssel kommt. Er fragt einfach meinen Mobilfunkanbieter danach. Es ist eine erschreckend simple, beinahe schon elegante Methode, ein Handy abzuhören. Jahrelang ist sie unentdeckt geblieben.

Die Forscher der SRLabs haben 2009 schon den Vorgängerstandard GSM erfolgreich ausgehebelt, nun also auch das als ungleich sicherer geltende UMTS. Mit Hardware im Wert von rund 400 Euro und selbst programmierter Software. Der Umweg, den Melette und Lukas Kuzmiak gefunden haben, könnte auch der sein, über den die NSA das Handy von Bundeskanzlerin Merkel abgehört hat. Nachweisbar ist das nicht, aber der Ansatz sei "zu attraktiv, als dass ihn alle Geheimdienste hätten übersehen können", sagt Karsten Nohl, der Leiter der SRLabs.

Das Problem, von dem Anfang des Monats noch die Telekom, Vodafone und O2 betroffen waren (E-Plus haben die Forscher in letzter Zeit nicht überprüft), liegt in einer Sammlung von Signalisierungsprotokollen, die unter dem Namen SS7 bekannt sind. Man kann sich SS7 als ein weltweites Netz für Provider vorstellen. Die Provider nutzen es, um die Vermittlung von Anrufen, SMS und Daten von einem Telekommunikationsnetzwerk ins nächste zu regeln. Benötigt wird das zum Beispiel für Roaming. Aber auch, um beim Übergang von einer sogenannten Vermittlungsstelle zur nächsten die Schlüssel auszutauschen, die zur Verschlüsselung einer Telefonverbindung im 3G-Netz verwendet werden. Das passiert zum Beispiel dann, wenn man im Auto telefoniert und währenddessen das Abdeckungsgebiet einer Vermittlungsstelle verlässt.

Die Forscher um Nohl stellten nun fest, dass die drei deutschen Provider bisher nicht reglementierten, wer diesen Schlüsselaustausch eigentlich beantragen kann. Das bedeutet: Jeder, der Zugang zu SS7 hat, kann theoretisch auch die Schlüssel anfordern. Er muss nur mit einem speziellen Kommando vorgeben, als Vermittlungsstelle die jeweilige Telefonverbindung übernehmen zu wollen. "Viele dieser Kommandos werden auch international beantwortet", sagt Nohl. "Deshalb können wir uns über einen SS7-Zugang einer ausländischen Firma an eine Vermittlungsstelle in Berlin wenden und ihr praktisch sagen: 'Dieses Telefongespräch klopft gerade bei uns an und will in unserem Netz weitergeführt werden. Gib uns mal den aktuellen Schlüssel, damit wir es weiterführen können' - und dann kriegen wir ihn."

Zielperson über SS7 lokalisieren, dann überwachen

Den Zugang zu SS7 reguliert die Industrievereinigung der GSM-Mobilfunkanbieter GSMA. Darin sind neben den weltweit rund 800 Providern auch Tausende andere Firmen und Forschungseinrichtungen organisiert. Viele Provider vermieten ihre Kapazitäten zum Teil an diese anderen GSMA-Mitglieder weiter, damit diese bestimmte Dienste anbieten können. Für kriminelle Organisationen oder Geheimdienste wäre es also kein Problem, auf diesem Weg ebenfalls einen Zugang zu SS7 zu bekommen.

Ebenso einfach ist es, die Telefongespräche oder SMS zu identifizieren, die man abhören oder mitlesen will. Das gilt zumindest dann, wenn man sich in der Nähe der Zielperson befindet. Besonders viele potenzielle Zielpersonen kommen im Berliner Regierungsviertel zusammen, wo auch gewisse ausländische Botschaften mit großen Antennen auf dem Dach stehen. Schon mit seinem 400-Euro-Empfänger, einem sogenannten Software Defined Radio, kann Melette UMTS-Gespräche in seiner Umgebung mitschneiden. Und sofern er die Handynummer einer Zielperson kennt, kann er mit einem kleinen Trick auch gezielt nach Verbindungen von und zu dieser Nummer suchen. Befindet sich die Zielperson nicht in der Nähe, kann Melette über ein weiteres SS7-Kommando den Standort des Handybesitzers feststellen. Er muss dafür nur die IMSI kennen. Hat er das Gerät lokalisiert, kann er sich dorthin begeben und dann wiederum die Kommunikation der Zielperson mitschneiden und entschlüsseln.

Abhören war einfacher, als es LTE noch nicht gab

NSA-tauglich ist die technische Ausrüstung von Melette nicht. Er braucht mehrere Anläufe, um seine an mich versandte SMS in der Mobilfunkzelle zu finden, abzufangen und zu entschlüsseln. Ich muss dazu auch den LTE-Empfang deaktivieren, der bei modernen Smartphones standardmäßig aktiv ist, denn LTE verwendet statt SS7 ein anderes System. Aber die Methode funktioniert grundsätzlich, wie sich auch Journalisten des WDR und der Süddeutschen Zeitung demonstrieren ließen.

Wirklich entschlüsselt haben die Berliner bisher auch nur SMS, bei Telefongesprächen gelang ihnen das noch nicht. "Den Teil haben wir noch nicht gebastelt. Da kommen Dateien heraus, für die wir noch keinen Player haben", sagt Nohl, "aber wir sehen schon mal die gewählte beziehungsweise die anrufende Nummer. Wir wissen also, dass die Gespräche sauber entschlüsselt wurden." Datenverbindungen über UMTS würden sie im Übrigen auch sehen, also mit welchen IP-Adressen sich jemand verbindet.

Ein weiterer Experte bestätigt die Schwachstelle

Diese Einschränkungen lassen den Fund unspektakulär erscheinen. Aber erstens haben andere Organisationen ganz andere Mittel, um die Technik zu entwickeln und einzusetzen. Zweitens dürfte das Aufspüren und Entschlüsseln von SMS oder auch Telefonaten vor einigen Jahren, als LTE noch nicht verbreitet war, wesentlich einfacher gewesen sein. Anders gesagt: Das alte Nokia-Handy von Angela Merkel war möglicherweise eine vergleichsweise leichte Beute.

Tobias Engel vom Chaos Computer Club beschäftigt sich schon lange mit SS7. Er bestätigt im Gespräch mit Zeit Online, was Nohl und sein Team entdeckt haben - ihm selbst ist unabhängig von den SRLabs exakt der gleiche Angriff auf UMTS-Verbindungen gelungen. Engel wird im Dezember auf dem Chaos Communication Congress in Hamburg (31C3) sogar noch weitergehende Szenarien vorstellen: Er habe einen Weg gefunden, beliebige SMS und Gespräche von überall auf der Welt abzuhören, sagt er. Die örtliche Nähe, die Melette für seine Methode braucht, benötigt er also nicht. Dass Engel der Erste ist, der diese Entdeckung gemacht hat, ist unwahrscheinlich.

Provider reagieren auf den Fund der Hacker 

eye home zur Startseite
jaykay2342 19. Dez 2014

Naja du brauchst schon SS7 zugang. Das sind viel zu viele aber nicht Jeder. Ack, im...



Anzeige

Stellenmarkt
  1. BWI GmbH, Strausberg
  2. VNR Verlag für die Deutsche Wirtschaft AG, Bonn
  3. endica GmbH, Karlsruhe
  4. Continental AG, Regensburg


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. IT-Sicherheit Neue Onlinehilfe für Anfänger
  2. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

  1. Re: Überschriften wollen gelernt sein

    violator | 18:07

  2. Re: Wenn's Geld einbringt, dann eher gegen die...

    Ganta | 18:07

  3. Re: 32Zoll zu groß für Schreibtisch?

    quineloe | 18:06

  4. Re: Glasfaser an die vorhandenen Masten hängen

    postb1 | 18:02

  5. Re: Wer braucht so viel Datendurchsatz wofür?

    Pornstar | 17:56


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel