Security: Forscher stellen LTE-Angriffe mit 1.250-Euro-Hardware vor
Ein Team von Forschern hat Angriffe auf den LTE-Mobilfunkstandard vorgestellt(öffnet im neuen Fenster) . Mit relativ günstiger Hardware soll es möglich sein, LTE-Nutzer zu identifizieren oder Denial-of-Service- und Downgrade-Angriffe durchzuführen. LTE gilt als deutlich sicherer im Vergleich zu GSM und 3G. Alle Tests wurden nach Angaben der Forscher mit kommerziell erhältlichen LTE-Geräten und in realen LTE-Netzwerken verschiedener Anbieter durchgeführt.
In dem Papier werden jedoch auch andere Angriffe vorgestellt. Hierfür nutzen die Forscher ein Universal Software Radio Peripheral mit OpenLTE, um eine gefälschte LTE-Basisstation (Enodeb) zu erstellen. Das Gerät funktioniert ähnlich wie ein IMSI-Catcher. Die für den Angriff benötigte Hardware koste nur rund 1.250 Euro, sagte der Forscher Ravishankar Borgaonkar zu Ars Technica(öffnet im neuen Fenster) .
GUTI statt IMSI
Das LTE-Netzwerk versucht, die Übertragung der IMSI-Kennung von Smartphones zu minimieren, um die Privatsphäre der Nutzer zu schützen. Stattdessen wird für jedes Gerät ein Globally Unique Temporary Identifier (GUTI) generiert. Diese ID wird für die weitere Kommunikation zwischen Basisstation und Gerät genutzt und regelmäßig erneuert. Doch die Forscher wiesen nach, das zumindest eines der untersuchten LTE-Netzwerke die GUTI-Nummer für mehr als drei Tage vergibt. Sammelt ein Angreifer die Daten über einen längeren Zeitraum, könnte er unter Umständen einzelne Geräte identifizieren. Es gibt zwar Empfehlungen, die eine regelmäßige Erneuerung der GUTI vorsehen, diese sind aber für die Netzwerkbetreiber nicht bindend.
Eine ähnliche Sicherung gab es bereits im 2G-Standard. Dort konnte diese umgangen werden, indem eine stille SMS an das Gerät gesendet wurde. Nach Angaben der Forscher ist bei LTE ein ähnlicher Angriff möglich, indem Nachrichten an soziale Netzwerke wie Facebook, Whatsapp oder Viber versendet werden. Auch hier bekämen die Nutzer in der Regel nicht mit, dass eine solche Anfrage gesendet wurde. Diesen Angriff bezeichnen die Forscher als "Semi-Passiv" , weil hier vor allem Netzwerkverkehr abgehört werden und kein vollständiger Man-In-The-Middle-Angriff durchgeführt wird.
Aktive Angriffe mit gefälschter Basisstation
Bei der aktiven Angriffsvariante wird die gefälschte LTE-Basisstation in den Sendemodus geschaltet. Anders als bei klassischen IMSI-Catchern verbindet sich ein LTE-fähiges Endgerät nicht automatisch mit der Station mit der höchsten Sendeleistung, sondern wählt die Station nach dem Prinzip der " Absolute priority based cell reselection(öffnet im neuen Fenster) " aus. Dieses Verfahren gewichtet verschiedene Indikatoren wie Qualität und Sendeleistung. Angreifer müssen ihre Basisstation also so konfigurieren, dass sie den Endgeräten die beste Frequenz anbieten. Außerdem müssen die Geräte den gleichen Mobile Network Code (MNC) und Mobile Country Code (MCC) übertragen wie die Basisstationen der Hersteller, um den Endgeräten der Nutzern das richtige Netz vorzugaukeln.
LTE ermöglicht genaueres Tracking
Im Vergleich zu GSM soll es mit LTE-Paging möglich sein, den Aufenthaltsort eines Gerätes deutlich präziser zu bestimmen, weil Paging-Befehle nicht an die gesamte Funkzelle, sondern nur an einen kleineren Bereich gesendet werden. Außerdem konnten die Forscher nach eigenen Angaben GPS-Koordinaten und Informationen über benachbarte Funkzellen abgreifen. Allerdings lässt sich diese Art von Angriff auch deutlich leichter erkennen als das "passive" Zuhören. So soll es etwa mit Hilfe der auf der Blackhat 2014 vorgestellten App Darshank möglich sein, auch diese Art von IMSI-Catchern ausfindig zu machen.
Außerdem beschreiben die Forscher einen Angriff, der es ermöglicht, Nutzer auf unsichere Verbindungen wie GSM herunterzustufen (Downgrade-Angriff). Hier nutzen die Forscher eine Schwäche in der LTE-Implementierung aus. Das Gerät des Nutzers (UE - User Equipment) sendet eine Tracking-Area-Update-Anfrage (Tau) an die gefälschte Basisstation. Diese Anfrage ist integritätsgeschützt, aber nicht verschlüsselt. Die Anfrage wird dann von der Basisstation bearbeitet und an das Gerät zurückgesendet. Hierbei gibt es jedoch weder Verschlüsselung noch Integritätsschutz - das Signal kann also manipuliert werden. Damit ist es nach Angaben der Forscher möglich, dem Gerät der Nutzer entweder nur die Nutzung von LTE zu untersagen oder aber alle LTE und Nicht-LTE-Dienste zu blockieren.