In den vergangenen Jahren haben Sicherheitsforscher immer wieder grundlegende Fehler in Mobilfunktechnologien aufgespürt. Ob GSM oder 3G – überall finden sich schwere Lücken, die Angreifern mit ausreichend Ressourcen die Überwachung oder Manipulation der Netze erlauben. Mit LTE sollen diese Defizite der Vergangenheit angehören – so zumindest das Versprechen der Industrie. Die Realität präsentiert sich aber etwas anders.

Diameter

Im Rahmen eines Vortrags am Hackerkongress 34c3 hat die Sicherheitsforscherin Silke Holtmanns vor schweren Defiziten rund um LTE gewarnt. Konkret geht es dabei um das Diameter-Protokoll, das bei LTE zu Authentifizierung, Autorisierung und Abrechnung verwendet wird. Damit nimmt es hier dieselbe Rolle ein, das das viel gescholtene Signalling System 7 (SS7) bei 3G innehat, scheint aber in der Realität kaum besser zu sein.

Und das ist auch nachvollziehbar: Übernimmt Diameter doch viele Design-Entscheidungen direkt von SS7. Zudem erweist sich die Abwärtskompatibilität als Problem, wie die bei den Nokia Bell Labs beschäftigte Forscherin betont. So könnte etwa über Downgrading Attacken der Einsatz von SS7 erzwungen werden – womit auch dessen Defizite wieder schlagend würden.

Defizite

Außerdem weise Diameter aber auch eigene Schwächen auf. So hätten etwa andere Forscher in der Vergangenheit schon gezeigt, wie darüber Dritte den Standort jedes beliebigen Mobilfunknutzers herausfinden können. Zudem sind auch Denial-of-Service-Attacken kein Problem, und dass sich die IMSI – und damit die Teilnehmerkennung eines Geräts – auslesen lässt, wurde ebenfalls bereits demonstriert. Und natürlich gibt es keinen Schutz gegen alte Defizite wie den nicht existenten Schutz von SMS, der etwa zur Unterwanderung von Zwei-Faktor-Authentifizierung oder zum Abfangen von Online-Banking-TANs genutzt werden kann.

Besser sehe es hingegen bei der Verschlüsselung von Datenverbindungen aus. Diese nutzen mittlerweile zuverlässige Transportprotokolle wie SCTP und eine Verschlüsselung via IPSec oder TLS.

Angriff

Holtmanns betont dabei, dass die beschriebenen Defizite nicht bloß theoretischer Natur sind. Unter Laborbedingungen habe man einige der bekannten Schwächen zu einem konkreten Angriff kombiniert, und sei damit erfolgreich gewesen. So wäre es etwa problemlos möglich gewesen, sowohl IMSI als auch Standort eines Uses herauszufinden. In weiterer Folge konnte man Downgrades auf unsichere Technologien wie GPRS durchführen, und schlussendlich dann einen LTE-Zugangspunkt komplett unter die eigene Kontrolle bringen. Damit wäre dann eine weitreichende Überwachung möglich.

An der falschen Stelle gespart

Ein Defizit sieht die Forscherin aber auch bei den Mobilfunkanbietern. Oft ist es deren mangelhafte Implementierung von Diameter bzw. LTE, die einige der Angriffe erst ermöglichen. Hier würde oft aus Kostengründen die Sicherheit des Netzes – und damit seiner User – aufs Spiel gesetzt. (red, 2.1.2018)