Abo
  • Services:
Anzeige
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Mobiltelefonie: UMTS-Verschlüsselung ausgehebelt

Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann
Das Software Defined Radion, mit dem SRLabs UMTS-Verbindungen abhören kann (Bild: Patrick Beuth)

Berliner Sicherheitsforscher haben die Verschlüsselung in UMTS-Netzen ausgehebelt. Möglicherweise hat die NSA auf diesem Weg einst das Zweithandy der Kanzlerin überwacht.

Anzeige

Auf dem Computer von Luca Melette steht die SMS, die er mir eben von seinem Handy aus geschickt hat. Im Klartext, also unverschlüsselt. Eigentlich sollte das nicht möglich sein. Wir sitzen im Büro der Security Research Labs (SRLabs) in Berlin-Mitte und unsere Handys haben hier ein 3G-Netz, also UMTS. In dem werden SMS, Telefonate und Internetdaten gut verschlüsselt übertragen. Aber Melette weiß, wie er an die Schlüssel kommt. Er fragt einfach meinen Mobilfunkanbieter danach. Es ist eine erschreckend simple, beinahe schon elegante Methode, ein Handy abzuhören. Jahrelang ist sie unentdeckt geblieben.

Die Forscher der SRLabs haben 2009 schon den Vorgängerstandard GSM erfolgreich ausgehebelt, nun also auch das als ungleich sicherer geltende UMTS. Mit Hardware im Wert von rund 400 Euro und selbst programmierter Software. Der Umweg, den Melette und Lukas Kuzmiak gefunden haben, könnte auch der sein, über den die NSA das Handy von Bundeskanzlerin Merkel abgehört hat. Nachweisbar ist das nicht, aber der Ansatz sei "zu attraktiv, als dass ihn alle Geheimdienste hätten übersehen können", sagt Karsten Nohl, der Leiter der SRLabs.

Das Problem, von dem Anfang des Monats noch die Telekom, Vodafone und O2 betroffen waren (E-Plus haben die Forscher in letzter Zeit nicht überprüft), liegt in einer Sammlung von Signalisierungsprotokollen, die unter dem Namen SS7 bekannt sind. Man kann sich SS7 als ein weltweites Netz für Provider vorstellen. Die Provider nutzen es, um die Vermittlung von Anrufen, SMS und Daten von einem Telekommunikationsnetzwerk ins nächste zu regeln. Benötigt wird das zum Beispiel für Roaming. Aber auch, um beim Übergang von einer sogenannten Vermittlungsstelle zur nächsten die Schlüssel auszutauschen, die zur Verschlüsselung einer Telefonverbindung im 3G-Netz verwendet werden. Das passiert zum Beispiel dann, wenn man im Auto telefoniert und währenddessen das Abdeckungsgebiet einer Vermittlungsstelle verlässt.

Die Forscher um Nohl stellten nun fest, dass die drei deutschen Provider bisher nicht reglementierten, wer diesen Schlüsselaustausch eigentlich beantragen kann. Das bedeutet: Jeder, der Zugang zu SS7 hat, kann theoretisch auch die Schlüssel anfordern. Er muss nur mit einem speziellen Kommando vorgeben, als Vermittlungsstelle die jeweilige Telefonverbindung übernehmen zu wollen. "Viele dieser Kommandos werden auch international beantwortet", sagt Nohl. "Deshalb können wir uns über einen SS7-Zugang einer ausländischen Firma an eine Vermittlungsstelle in Berlin wenden und ihr praktisch sagen: 'Dieses Telefongespräch klopft gerade bei uns an und will in unserem Netz weitergeführt werden. Gib uns mal den aktuellen Schlüssel, damit wir es weiterführen können' - und dann kriegen wir ihn."

Zielperson über SS7 lokalisieren, dann überwachen

Den Zugang zu SS7 reguliert die Industrievereinigung der GSM-Mobilfunkanbieter GSMA. Darin sind neben den weltweit rund 800 Providern auch Tausende andere Firmen und Forschungseinrichtungen organisiert. Viele Provider vermieten ihre Kapazitäten zum Teil an diese anderen GSMA-Mitglieder weiter, damit diese bestimmte Dienste anbieten können. Für kriminelle Organisationen oder Geheimdienste wäre es also kein Problem, auf diesem Weg ebenfalls einen Zugang zu SS7 zu bekommen.

Ebenso einfach ist es, die Telefongespräche oder SMS zu identifizieren, die man abhören oder mitlesen will. Das gilt zumindest dann, wenn man sich in der Nähe der Zielperson befindet. Besonders viele potenzielle Zielpersonen kommen im Berliner Regierungsviertel zusammen, wo auch gewisse ausländische Botschaften mit großen Antennen auf dem Dach stehen. Schon mit seinem 400-Euro-Empfänger, einem sogenannten Software Defined Radio, kann Melette UMTS-Gespräche in seiner Umgebung mitschneiden. Und sofern er die Handynummer einer Zielperson kennt, kann er mit einem kleinen Trick auch gezielt nach Verbindungen von und zu dieser Nummer suchen. Befindet sich die Zielperson nicht in der Nähe, kann Melette über ein weiteres SS7-Kommando den Standort des Handybesitzers feststellen. Er muss dafür nur die IMSI kennen. Hat er das Gerät lokalisiert, kann er sich dorthin begeben und dann wiederum die Kommunikation der Zielperson mitschneiden und entschlüsseln.

Abhören war einfacher, als es LTE noch nicht gab

NSA-tauglich ist die technische Ausrüstung von Melette nicht. Er braucht mehrere Anläufe, um seine an mich versandte SMS in der Mobilfunkzelle zu finden, abzufangen und zu entschlüsseln. Ich muss dazu auch den LTE-Empfang deaktivieren, der bei modernen Smartphones standardmäßig aktiv ist, denn LTE verwendet statt SS7 ein anderes System. Aber die Methode funktioniert grundsätzlich, wie sich auch Journalisten des WDR und der Süddeutschen Zeitung demonstrieren ließen.

Wirklich entschlüsselt haben die Berliner bisher auch nur SMS, bei Telefongesprächen gelang ihnen das noch nicht. "Den Teil haben wir noch nicht gebastelt. Da kommen Dateien heraus, für die wir noch keinen Player haben", sagt Nohl, "aber wir sehen schon mal die gewählte beziehungsweise die anrufende Nummer. Wir wissen also, dass die Gespräche sauber entschlüsselt wurden." Datenverbindungen über UMTS würden sie im Übrigen auch sehen, also mit welchen IP-Adressen sich jemand verbindet.

Ein weiterer Experte bestätigt die Schwachstelle

Diese Einschränkungen lassen den Fund unspektakulär erscheinen. Aber erstens haben andere Organisationen ganz andere Mittel, um die Technik zu entwickeln und einzusetzen. Zweitens dürfte das Aufspüren und Entschlüsseln von SMS oder auch Telefonaten vor einigen Jahren, als LTE noch nicht verbreitet war, wesentlich einfacher gewesen sein. Anders gesagt: Das alte Nokia-Handy von Angela Merkel war möglicherweise eine vergleichsweise leichte Beute.

Tobias Engel vom Chaos Computer Club beschäftigt sich schon lange mit SS7. Er bestätigt im Gespräch mit Zeit Online, was Nohl und sein Team entdeckt haben - ihm selbst ist unabhängig von den SRLabs exakt der gleiche Angriff auf UMTS-Verbindungen gelungen. Engel wird im Dezember auf dem Chaos Communication Congress in Hamburg (31C3) sogar noch weitergehende Szenarien vorstellen: Er habe einen Weg gefunden, beliebige SMS und Gespräche von überall auf der Welt abzuhören, sagt er. Die örtliche Nähe, die Melette für seine Methode braucht, benötigt er also nicht. Dass Engel der Erste ist, der diese Entdeckung gemacht hat, ist unwahrscheinlich.

Provider reagieren auf den Fund der Hacker 

eye home zur Startseite
jaykay2342 19. Dez 2014

Naja du brauchst schon SS7 zugang. Das sind viel zu viele aber nicht Jeder. Ack, im...



Anzeige

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt
  2. Daimler AG, Ulm
  3. Robert Bosch GmbH, Abstatt
  4. Rohde & Schwarz Cybersecurity GmbH, Bochum, Saarbrücken, Köln


Anzeige
Blu-ray-Angebote
  1. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Luftfahrt

    Fliegendes Motorrad Kitty Hawk Flyer hebt ab

  2. Seagate

    Rugged-Festplatte enthält SD-Kartenleser für Drohnen

  3. Grafikkarte

    Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen

  4. Amazon

    Phishing-Kampagne ködert mit Datenschutzgrundverordnung

  5. Linux-Distribution

    Opensuse ändert erneut sein Versionsschema

  6. Ronin 2 und Cendence

    DJI präsentiert neuen Kamera-Gimbal und Drohnencontroller

  7. Festnetz

    Neue Glasfaser von Prysmian soll Spleißzeit verringern

  8. Radeon Pro Duo

    AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips

  9. Mediacenter-Software

    Warum Kodi DRM unterstützen will

  10. Satelliteninternet

    Apple holt sich Satellitenexperten von Alphabet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creators Update im Test: Erhöhter Reifegrad für Windows 10
Creators Update im Test
Erhöhter Reifegrad für Windows 10
  1. Windows 10 Mobile Da waren es nur noch 13
  2. Creators Update Die meisten Linux-Entwickler-Tools laufen auf Windows
  3. Windows 10 Microsoft verrät, welche Daten gesammelt werden

Moto G5 und Moto G5 Plus im Test: Lenovo kehrt zur bewährten Motorola-Tradition zurück
Moto G5 und Moto G5 Plus im Test
Lenovo kehrt zur bewährten Motorola-Tradition zurück
  1. Miix 720 Lenovos High-End-Detachable ist ab 1.200 Euro erhältlich
  2. Lenovo Händler nennt Details des Moto G5
  3. Miix 320 Daten zu Lenovos neuem 2-in-1 vorab veröffentlicht

Miniatur Wunderland: Schiffe versenken die schönsten Pläne
Miniatur Wunderland
Schiffe versenken die schönsten Pläne
  1. Transport Üo, der fahrbare Ball
  2. Transport Sea Bubbles testet foilendes Elektroboot
  3. Verkehr Eine Ampel mit Kamera und Gesichtserkennung

  1. Jetzt noch Tumbleweed umbenennen

    Seitan-Sushi-Fan | 04:38

  2. Re: ...bringt diese oft wiederholte Darstellung...

    DonaldDuck | 04:37

  3. Re: Deutsches Abitur?

    Apfelbrot | 04:27

  4. Re: HBM die Totgeburt

    gaciju | 04:20

  5. Re: DRM braucht es nicht - Aber auf den Fire...

    ve2000 | 03:50


  1. 19:00

  2. 17:59

  3. 17:30

  4. 17:10

  5. 16:49

  6. 16:26

  7. 16:11

  8. 15:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel