Billig-Abhörtechnik für Handys Lauschangriff für jedermann

Nur wer Technik für 100.000 Euro kauft, kann fremde Handys abhören und mitschneiden - glaubten Experten bisher. Doch jetzt kommt die Lauschoffensive zum Schleuderpreis: Ein Hacker führt vor, dass es auch 1000 Euro und ein bisschen Gratis-Software tun.

Uli Ries

Von Uli Ries


Las Vegas/Hamburg - Diese Demonstration gehörte zu den brisantesten Events der weltweit beachteten Hacker-Konferenz Defcon: Das Abfangen und Mithören von Mobiltelefonaten mit Hilfe einfachen, preiswerten Equipments. Das ist so illegal, dass der britische Hacker Chris Paget darauf verzichtete, sein Können quasi am lebenden Objekt vorführen. In Deutschland beispielsweise würden ihm dafür im schlimmsten Fall drei Jahre Knast drohen. Auch in Vegas verzichtete Paget darum darauf, seinen Mix aus einer frei verfügbaren, etwas über 1000 Euro teuren Hardware und einer speziell zu diesem Zweck angepassten Linux-Variante in einem echten Mobilfunknetz zu demonstrieren.

Stattdessen wählt er für seine Demonstration während der in Las Vegas stattfindenden Hackerkonferenz Funkfrequenzen, die in den USA nicht von Netzbetreibern genutzt werden. Handelsübliche Mobiltelefone verbinden sich dennoch mit dem Aufbau - zwei Minuten nach Start der Demonstration waren es bereits über 30 Stück.

"Insbesondere eure iPhones scheinen mein Funknetz zu lieben", ruft der Hacker dem Publikum zu. Sämtliche Kommunikation der gekaperten Smartphones wandert von nun an durch die Ausrüstung des Hackers. Prinzipiell ließen sich die Telefonate vor der Weiterleitung fein säuberlich mitschneiden. Weder das belauschte Opfer, noch der Partner am anderen Ende würden etwas vom Mitschnitt bemerken.

Dass Pagets Aufbau praxistauglich ist, bestätigt ausgerechnet die für die weltweit verwendeten Mobilfunk-Standards verantwortliche GSM Association (GSMA). Gegenüber SPIEGEL ONLINE erklärt eine Sprecherin: "Der Einsatz einer gefälschten Basisstation ist ein möglicher Weg, um Telefonate zu belauschen."

Das Auftauchen des Discount-IMSI-Catchers ist ein Alptraum für die Netzbetreiber. Denn bislang vermochten lediglich Strafverfolger und finanziell potente Industriespione sich die mindestens 100.000 Euro und mehr kostenden Gerätschaften zu beschaffen. Die einen legal, die anderen auf dem Schwarzmarkt.

Auch verschlüsseltes GSM hält Angreifer nicht mehr ab

Jetzt kann jeder technisch halbwegs versierte Kleinkriminelle auf die Pirsch nach spannenden Handytelefonaten gehen. Zwar verweist die GSMA auf eine ganze Reihe von technischen Vorkehrungen, die einen solchen Angriff eigentlich unmöglich machen sollen. Diese Mechanismen greifen jedoch nur, wenn sich Mobiltelefon und Funknetz mit Hilfe des modernen 3G-Standards, hierzulande besser bekannt als UMTS, verständigen.

Wie Paget im Gespräch mit SPIEGEL ONLINE erläutert, hebelt er den 3G-Schutz jedoch spielend leicht aus: Seine Basisstation gaukelt dem Mobiltelefon lediglich die Fähigkeit zu unverschlüsselten GSM-Verbindungen vor. GSM ist der kleinste gemeinsame Nenner aller Mobiltelefone und heutiger Funknetze und lässt sich auch standardkonform ohne Codierung betreiben. Aber auch herkömmliches, verschlüsseltes GSM hält Angreifer inzwischen nicht mehr ab: Der deutsche Mobilfunk-Experte Karsten Nohl kann auch Mitschnitte von verschlüsselten Gesprächen knacken. Laut GSMA können Mobiltelefone prinzipiell durch eine Warnung im Display auf die fehlende Codierung hinweisen.

Keiner der von SPIEGEL ONLINE hierzu befragten Handyhersteller konnte oder wollte die Existenz einer solchen Warnfunktion jedoch bestätigen. Weder Platzhirsch Nokia noch Mitbewerber Motorola oder Research in Motion, Hersteller des bei Geschäftskunden beliebten Blackberrys, förderten Brauchbares zu Tage. Geschlossen ratlos zeigte man sich auch auf Seiten der Netzbetreiber. T-Mobile hüllt sich trotz diverser Anfragen in Schweigen, O2 und Vodafone verwiesen immerhin noch auf die GSMA. Chris Paget vermutet, dass den in jedem Telefon steckenden SIM-Karten die Fähigkeit zur Anzeige der Meldung genommen wurde - damit es in Ländern wie Indien, in denen die Codierung untersagt ist, nicht zu ständig neuen Warnmeldungen kommt.

Gezielte Attacken sind nur schwer möglich

Pagets Attacke ist zum Glück für Netzbetreiber und deren Kunden nicht allein der rechtlichen Konsequenzen wegen in der Praxis nur eingeschränkt umsetzbar: Der Lauscher muss sein Equipment unbedingt in die unmittelbare Nähe seiner Opfer bringen. Halbwegs unauffällige Antennen lassen die Basisstation des Lauschers einen Kreis mit einem Radius von 20 Metern so mit Funksignalen ausleuchten, dass sich alle in der Nähe befindlichen Handys automatisch mit ihr verbinden. Denn die Telefone bauen stets Kontakt zur Basis mit dem stärksten Signal auf und nicht mit der, die die höchste Übertragungsrate verspricht. Letztere wäre in jedem Fall die von den gekaperten Handys verschmähte UMTS-Station des Netzbetreibers.

Außerdem kann die Hacker-Hardware jeweils nur maximal sieben Telefonate gleichzeitig abfangen und weiterleiten. Für sieben weitere wäre ein zweiter Aufbau notwendig. Außerdem bleibt es dem Zufall überlassen, welches Opfer dem Lauscher ins Netz geht. Gezielte Attacken sind somit also nur schwer möglich. Leer geht ein Angreifer auch aus, wenn sich sein Opfer bewegt und so in den Bereich einer anderen, legitimen Station kommt.

Einen wirksamen, weitreichenden Schutz gegen die Attacke gibt es bislang jedoch nicht - und relevant ist sie allemal: Naheliegende Beispiele für Anwendungen wären das Belauschen von Hotelzimmern aus Nachbarräumen heraus, kostengünstige Industriespionage aus geparkten Fahrzeugen bis hin zu einer alptraumhaften Verschärfung des Stalking-Problems. Von Sittentätern über Kleinkriminelle bis zu leicht außerhalb der Legalität operierenden Privatdetektiven könnten sich etliche Zielgruppen für die Technik interessieren. Ein radikaler Wechsel zu UMTS/3G, der das GSM-Problem per Abschaltung lösen würde, kommt für die Netzbetreiber nicht in Frage. Zu groß ist ihre Furcht, dass über Nacht Millionen von Handy-Kunden ohne Empfang dastehen.

Abhilfe versprechen einzig Handys mit eingebauten Verschlüsselungsmechanismen. Solche bei hochrangigen Politikern und Wirtschaftsbossen beliebten "Merkel-Phones" sind jedoch teuer und sichern zudem nur, wenn beide Kommunikationspartner in ein Krypto-Handy sprechen. Das Gleiche gilt für Nachrüstsätze, wie sie für manche Nokia- und Blackberry-Modelle angeboten werden. Besitzer eines Android-Smartphones können sich kostenlos behelfen: Die Gratis-Software RedPhone verschlüsselt Telefonate unknackbar, wenn auch sie von beiden Gesprächspartner verwendet wird. Genau wie die GSM-Lausch- und Knackattacken entstammt auch RedPhone der Hackergemeinde - der offensichtlich daran gelegen ist, dass Mobiltelefonieren endlich sicher wird.



Forum - Diskussion über diesen Artikel
insgesamt 18 Beiträge
Alle Kommentare öffnen
Seite 1
Faust007 02.08.2010
1. Man-in-the-middle-Angriff
Ohne Verschlüsselung werden immer MITM-Angriffe erfolgreich sein. DECT geführte Gespräche werden mit wenig Aufwand [Com-On-Air-Karte und Linux Kenntnisse] abgehört. WLAN Netze auch WPA2 gesichert sind jetzt schon unproblematisch.[Atheros & Madwifi lassen grüßen :-D] Radius Authentifizierung ist ein muss!
SJGT, 02.08.2010
2. Wie denn nun?
Zitat von sysopNur wer Technik für 100.000 Euro kauft, kann fremde Handys abhören und mitschneiden - glaubten Experten bisher. Doch jetzt kommt die Lauschoffensive zum Schleuderpreis: Ein Hacker führt vor, dass es auch 1000 Euro und ein bisschen Gratis-Software tun. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,709624,00.html
1000 Euro oder wie in der Fotostrecke gelesen: 100 Euro? Wer sich das Korrekturlesen spart, spart am falschen Ende...
citizengun 02.08.2010
3. -
Viel Lärm um nichts. Die beschrieben Methode mit der Basisstation ist absolut unpraktikabel und lohnt sich wirklich nur, wenn der Verschlüsselungsalgorithmus nicht direkt angreifbar ist, so wie dies bei GSM der Fall ist. Da GSM ohnehin veraltet ist und die meisten Handys heutzutage mit UMTS arbeiten (welches auch erzwungen werden kann) lohnt sich der Nachbau nicht mehr. €1000 sind auch etwas sehr viel. Das geht schon für €100 Materialkosten, wenn man alles selbst macht.
Affensprung 02.08.2010
4. Kosten
Zitat von citizengunViel Lärm um nichts. Die beschrieben Methode mit der Basisstation ist absolut unpraktikabel und lohnt sich wirklich nur, wenn der Verschlüsselungsalgorithmus nicht direkt angreifbar ist, so wie dies bei GSM der Fall ist. Da GSM ohnehin veraltet ist und die meisten Handys heutzutage mit UMTS arbeiten (welches auch erzwungen werden kann) lohnt sich der Nachbau nicht mehr. €1000 sind auch etwas sehr viel. Das geht schon für €100 Materialkosten, wenn man alles selbst macht.
Würde mich mal interessieren, wie die 100€ zustande kommen. Ich unterstelle einfach mal, dass der Ansatz auf dem USRP basiert. Und da kosten alleine die A/D-D/A Wandler etwa 200€.
Jamy2k2 02.08.2010
5. Wpa2
Zitat von Faust007Ohne Verschlüsselung werden immer MITM-Angriffe erfolgreich sein. DECT geführte Gespräche werden mit wenig Aufwand [Com-On-Air-Karte und Linux Kenntnisse] abgehört. WLAN Netze auch WPA2 gesichert sind jetzt schon unproblematisch.[Atheros & Madwifi lassen grüßen :-D] Radius Authentifizierung ist ein muss!
Gibt es eine Quelle dafür, dass WPA2 knackbar sein soll? Ist meinem Kenntnisstand nach eine Fehlinformation.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.