Abo
  • IT-Karriere:

Verschlüsselung: Schwachstellen in zahlreichen VoIP-Anwendungen entdeckt

Das ZRT-Protokoll soll für sichere Verbindungen und verschlüsselte VoIP-Telefonate sorgen. Forscher haben Schwachstellen in zahlreichen ZRTP-Anwendungen entdeckt, die die Sicherheitsmechanismen aushebeln.

Artikel veröffentlicht am ,
Mangelnde Implementierungen von Sicherheitsfunktionen des ZRTP machen VoIP-Anwendungen unsicher.
Mangelnde Implementierungen von Sicherheitsfunktionen des ZRTP machen VoIP-Anwendungen unsicher. (Bild: Dominik Schürmann)

Eine Untersuchung zahlreicher VoIP-Anwendungen hat ergeben: Trotz der im ZRT-Protokoll implementierten Sicherheitsmechanismen lassen sich verschlüsselte Telefonate vergleichsweise einfach umleiten oder abhören. Das ist in erster Linie auf Design-Schwächen der jeweiligen Software zurückzuführen. Es gab aber auch eine inzwischen geschlossene Schwachstelle. Und eine Sicherheitsfunktion in ZRTP wird der Bequemlichkeit geopfert. Die Forscher um Dominik Schürmann an der TU Braunschweig haben die Schwachstellen untersucht.

Stellenmarkt
  1. Diehl Connectivity Solutions GmbH, Wangen im Allgäu / Nürnberg
  2. Rail Power Systems GmbH, Offenbach

Das vom renommierten Sicherheitsforscher Phil Zimmermann entwickelte ZRT-Protokoll (Z(immermann) Real-time Transport Protocol) sorgt mit dem Diffie-Hellman-Schlüsselaustausch für verschlüsselte Verbindungen, die direkt zwischen zwei Teilnehmern aufgebaut werden. Zusätzliche Sicherheitsfunktionen stellen sicher, dass die Verbindung zwischen zwei Endstellen vertrauenswürdig ist. ZRTP wurde 2011 als RFC 6189 von der Internet Engineering Task Force (IETF) veröffentlicht und dient als Basis für zahlreiche Anwendungen, darunter das von Zimmermann mitentwickelte Silent Phone von Silent Circle.

Mangelnde Umsetzung von Sicherheitsfunktionen

Schürmann und seine Kollegen haben zahlreiche populäre Anwendungen untersucht, die ebenfalls ZRTP als Basis verwenden. Grundlage für ihre Auswahl war, dass die Anwendungen ihren Quellcode zugänglich machen, um die Software einer möglichst genauen Untersuchung zu unterziehen. Zu der getesteten Software gehören Signal, Linphone Android, Jitsi, CSipSimple und Acrobits Softphone.

In Linphone Android entdeckten die Forscher gleich eine Schwachstelle, die nach Absprache mit den Entwicklern bereits in Version 3.2.0 behoben wurde. Ansonsten entdeckten die Forscher in erster Linie Schwächen in der Umsetzung der Sicherheitsfunktionen in ZRTP selbst.

Striktere Regeln gefordert

Um Angriffe durch Dritte beim Verbindungsaufbau auszuschließen, werden sogenannte Short Authentication Strings (SAS) angezeigt und durch die Teilnehmer verglichen. Stimmen sie nicht überein, besteht die Gefahr, dass sich ein Unbefugter in die Unterhaltung eingeklinkt hat. In Signal fehlt beispielsweise ein Dialogfeld, das gemeinsame SAS bestätigen kann. Inzwischen verwendet Signal ZRTP nicht mehr, sondern setzt auf WebRTC mit eigenen zusätzlichen Sicherheitsfunktionen.

In Acrobits Softphone, CSipSimple, Jitsi und Linphone werden Telefonate über unsichere Protokolle aufrechterhalten, wenn der Verbindungsaufbau über ZRTP versagt. Zwar würden die Nutzer meist gewarnt, Untersuchungen hätten aber ergeben, dass hauptsächlich versierte Nutzer diese Gefahren als solche erkennen, bzw. dass die Warnungen während des Telefonats schlichtweg übersehen werden. Die Forscher schlagen deshalb vor, in einem solchen Fall die Verbindung zu kappen. Nur die Software Signal sei so vorgegangen.

Sowohl CSipSimple als auch Jitsi und Linphone Android machen es Dritten vergleichsweise einfach, sich in eine Verbindung einzuklinken, ohne dass der Vergleich per SAS versagt. Die Anwendungen verzichten nämlich darauf, die ZID des jeweiligen Nutzers an seine SIP-Adresse zu binden. Das RFC von ZRTP schlägt zwar eine Etikettierung der ZIDs vor, um Nutzer zumindest vor solchen Angriffen zu warnen; die Forscher vermuten jedoch, dass die Entwickler wegen der zusätzlichen Komplexität für Nutzer darauf verzichten.



Anzeige
Top-Angebote
  1. GRATIS
  2. (aktuell u. a. AMD Ryzen 7 2700X für 189,90€, Asus ROG Crosshair VIII Formula Mainboard für 499...
  3. 45,79€

triplekiller 28. Mär 2017

interessiert mich sehr. ich habe jahre verbracht, sprachverschlüsselung zu lernen. dieser...


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
Astrobiologie
Woher kommen das Leben, das Universum und der ganze Rest?

Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
Von Miroslav Stimac

  1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
  2. Astronomie Forscher entdeckten uralte Galaxien
  3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

    •  /