Abo
  • Services:

Verschlüsselung: Schwachstellen in zahlreichen VoIP-Anwendungen entdeckt

Das ZRT-Protokoll soll für sichere Verbindungen und verschlüsselte VoIP-Telefonate sorgen. Forscher haben Schwachstellen in zahlreichen ZRTP-Anwendungen entdeckt, die die Sicherheitsmechanismen aushebeln.

Artikel veröffentlicht am ,
Mangelnde Implementierungen von Sicherheitsfunktionen des ZRTP machen VoIP-Anwendungen unsicher.
Mangelnde Implementierungen von Sicherheitsfunktionen des ZRTP machen VoIP-Anwendungen unsicher. (Bild: Dominik Schürmann)

Eine Untersuchung zahlreicher VoIP-Anwendungen hat ergeben: Trotz der im ZRT-Protokoll implementierten Sicherheitsmechanismen lassen sich verschlüsselte Telefonate vergleichsweise einfach umleiten oder abhören. Das ist in erster Linie auf Design-Schwächen der jeweiligen Software zurückzuführen. Es gab aber auch eine inzwischen geschlossene Schwachstelle. Und eine Sicherheitsfunktion in ZRTP wird der Bequemlichkeit geopfert. Die Forscher um Dominik Schürmann an der TU Braunschweig haben die Schwachstellen untersucht.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Karlsruhe
  2. Interhyp Gruppe, München

Das vom renommierten Sicherheitsforscher Phil Zimmermann entwickelte ZRT-Protokoll (Z(immermann) Real-time Transport Protocol) sorgt mit dem Diffie-Hellman-Schlüsselaustausch für verschlüsselte Verbindungen, die direkt zwischen zwei Teilnehmern aufgebaut werden. Zusätzliche Sicherheitsfunktionen stellen sicher, dass die Verbindung zwischen zwei Endstellen vertrauenswürdig ist. ZRTP wurde 2011 als RFC 6189 von der Internet Engineering Task Force (IETF) veröffentlicht und dient als Basis für zahlreiche Anwendungen, darunter das von Zimmermann mitentwickelte Silent Phone von Silent Circle.

Mangelnde Umsetzung von Sicherheitsfunktionen

Schürmann und seine Kollegen haben zahlreiche populäre Anwendungen untersucht, die ebenfalls ZRTP als Basis verwenden. Grundlage für ihre Auswahl war, dass die Anwendungen ihren Quellcode zugänglich machen, um die Software einer möglichst genauen Untersuchung zu unterziehen. Zu der getesteten Software gehören Signal, Linphone Android, Jitsi, CSipSimple und Acrobits Softphone.

In Linphone Android entdeckten die Forscher gleich eine Schwachstelle, die nach Absprache mit den Entwicklern bereits in Version 3.2.0 behoben wurde. Ansonsten entdeckten die Forscher in erster Linie Schwächen in der Umsetzung der Sicherheitsfunktionen in ZRTP selbst.

Striktere Regeln gefordert

Um Angriffe durch Dritte beim Verbindungsaufbau auszuschließen, werden sogenannte Short Authentication Strings (SAS) angezeigt und durch die Teilnehmer verglichen. Stimmen sie nicht überein, besteht die Gefahr, dass sich ein Unbefugter in die Unterhaltung eingeklinkt hat. In Signal fehlt beispielsweise ein Dialogfeld, das gemeinsame SAS bestätigen kann. Inzwischen verwendet Signal ZRTP nicht mehr, sondern setzt auf WebRTC mit eigenen zusätzlichen Sicherheitsfunktionen.

In Acrobits Softphone, CSipSimple, Jitsi und Linphone werden Telefonate über unsichere Protokolle aufrechterhalten, wenn der Verbindungsaufbau über ZRTP versagt. Zwar würden die Nutzer meist gewarnt, Untersuchungen hätten aber ergeben, dass hauptsächlich versierte Nutzer diese Gefahren als solche erkennen, bzw. dass die Warnungen während des Telefonats schlichtweg übersehen werden. Die Forscher schlagen deshalb vor, in einem solchen Fall die Verbindung zu kappen. Nur die Software Signal sei so vorgegangen.

Sowohl CSipSimple als auch Jitsi und Linphone Android machen es Dritten vergleichsweise einfach, sich in eine Verbindung einzuklinken, ohne dass der Vergleich per SAS versagt. Die Anwendungen verzichten nämlich darauf, die ZID des jeweiligen Nutzers an seine SIP-Adresse zu binden. Das RFC von ZRTP schlägt zwar eine Etikettierung der ZIDs vor, um Nutzer zumindest vor solchen Angriffen zu warnen; die Forscher vermuten jedoch, dass die Entwickler wegen der zusätzlichen Komplexität für Nutzer darauf verzichten.



Anzeige
Hardware-Angebote
  1. 119,90€

triplekiller 28. Mär 2017

interessiert mich sehr. ich habe jahre verbracht, sprachverschlüsselung zu lernen. dieser...


Folgen Sie uns
       


Lenovo Thinkpad X1 Extreme - Test

Das X1 Extreme zeigt, dass auch größere Thinkpads gute Geräte sind. Es ist gerade in produktiven Anwendungen sehr flott und bringt die gewohnte Tastatur-Trackpoint-Kombination mit. Einziger Kritikpunkt: die träge Kühlleistung.

Lenovo Thinkpad X1 Extreme - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /