Schwache Verschlüsselung Forscher entdecken mutmaßliche Hintertür im 2G-Mobilfunk

Wer mit seinem Handy per GPRS oder Edge durchs Internet gesurft ist, hätte leichter abgehört werden können als gedacht. Forscher haben jetzt erst eine offenbar absichtlich integrierte Schwachstelle entdeckt.
Auch das iPhone XR setzte noch auf den Verschlüsselungsstandard GEA-1

Auch das iPhone XR setzte noch auf den Verschlüsselungsstandard GEA-1

Foto: Marcio Jose Sanchez / picture alliance/dpa/AP

Mobilfunkdaten waren offenbar jahrzehntelang leichtere Beute für kriminelle Hacker oder Geheimdienste als weithin angenommen: Sicherheitsexperten aus Deutschland, Frankreich und Norwegen glauben, dass Programmierer in den Neunzigerjahren absichtlich eine Sicherheitslücke in die Verschlüsselung des 2G-Mobilfunknetzes eingebaut haben.

Laut dem Forschungsbericht (PDF ) werden per GPRS und Edge übertragene Daten deutlich schlechter verschlüsselt als versprochen. Bei der Veröffentlichung des Verschlüsselungsstandards GEA-1 im Jahr 1998 hieß es, dass 2G-Mobilfunkdaten mit 64 Bit codiert werden. Allerdings fanden die Wissenschaftler heraus, dass es sich tatsächlich nur um eine leicht auszuhebelnde 40-Bit-Verschlüsselung handelt. Dadurch wäre es möglich gewesen, mit einer erfolgreichen Brute-Force-Attacke sowohl E-Mails von einzelnen Personen mitzulesen als auch von ihnen besuchte Websites zu protokollieren.

Ein Versehen bei der Programmierung schließt Gregor Leander aus dem Forscherteam aus. Zusammen mit sieben weiteren Kollegen hat der IT-Experte den lange Zeit geheim gehaltenen Quelltext der GEA-1-Verschlüsselung untersucht, der ihnen nun zugespielt worden war. Im Gespräch mit dem SPIEGEL sagt der Professor aus dem Cybersicherheitsteam CASA der Ruhr-Universität Bochum: »Das passiert nicht zufällig.« Etwa eine Woche lang hat das Forscherteam gebraucht, um die Schwachstelle im Quelltext zu entdecken. »Es handelt sich um eine total unauffällige Stelle im Code«, sagt Gregor Leander.

Der Knackpunkt ist laut Leander die 40-Bit-Verschlüsselung. Das war bis zum Jahr 2000 die maximal erlaubte Verschlüsselungslänge für Software in Europa und den USA, die auch für den Export bestimmt war. Die errechnete Wahrscheinlichkeit, dass es sich bei genau dieser Bit-Größe in GEA-1 um ein Versehen handelt, sei so groß wie zweimal hintereinander im Lotto zu gewinnen, sagt der Forscher.

40-Bit-Schlüssel deutlich leichter zu knacken

Auch wenn ein Unterschied von 24 Bit zunächst nach wenig klingt, sind die Folgen enorm. Denn die Kodierungsstärke nimmt mit jedem Bit exponentiell zu. »Einen 40-Bit-Schlüssel kann ich mit meinem Laptop knacken«, sagt Leander. »Für 64 Bit benötige ich knapp 17 Millionen Mal mehr Leistung und damit ein ganzes Rechenzentrum.«

Aufgrund der künstlich reduzierten Verschlüsselung war es Angreifern theoretisch möglich, den Code zu knacken, wenn sie lediglich 65 Bit des Originaltexts kannten, also beispielsweise eine Zeichenfolge mit sieben Buchstaben oder Satzzeichen. Ihnen hätte es dann genügt, zu wissen, dass das Opfer an einer gewissen Stelle »http://« in die Browserzeile eingibt, um die restlichen Daten zu entschlüsseln.

Eine Sprecherin des Europäischen Instituts für Telekommunikationsnormen (Etsi) teilte dem SPIEGEL mit, dass die GEA-Verschlüsselung künftig keine Rolle mehr bei modernen Mobilfunkstandards spielt. Am Donnerstag hat das internationale Mobilfunkgremium 3GPP entschieden, dass Herstellern empfohlen wird, weder GEA-1 noch GEA-2 einzusetzen. Auch aus älteren Mobilfunkstandards wird GEA-1 verbannt – und von GEA-2 mit einer errechneten 45-Bit-Verschlüsselung dringend abgeraten.

Ende der Neunzigerjahre war die Übertragung mit GPRS und Edge mit bis zu 220 Kilobit pro Sekunde die schnellste Möglichkeit, um mobil im Internet zu surfen. Mittlerweile ist der Standard veraltet. Ein paar Jahre später folgte 3G, heutzutage rufen die meisten Smartphones ihren Daten per LTE oder sogar schon 5G mit Raten von mehreren Hundert Megabit pro Sekunde ab.

Apple und Samsung reagieren auf Sicherheitslücke

Allerdings setzen wohl noch immer einige aktuelle Smartphones auf die riskante Verschlüsselungstechnik. Vergleichsweise moderne Handys wie das Samsung Galaxy S9, das iPhone XR (beide kamen 2018 auf den Markt) und das Huawei P9 Lite von 2016 wechseln laut den Forschern in Regionen mit schlechtem Empfang auf das flächendeckend verfügbare GSM-Netz – und auch auf Verschlüsselung mit GEA-1. Zumindest Metadaten lassen sich laut den Wissenschaftlern in diesen Fällen noch abgreifen.

Laut der »Süddeutschen Zeitung«  haben die Hersteller auf die Hinweise der Forschergruppe bereits reagiert. Samsung wolle per Softwareupdate die Unterstützung von GEA-1 für alle Galaxy-Geräte nach und nach aufheben. Apple habe mit dem Update auf iOS 14.5 im April die Unterstützung von GEA-1 für die iPhone-Modelle 7 bis 11 beendet. Mit iOS 15 soll das auch für das iPhones SE und das iPhone 6s umgesetzt werden.

Von der Schwachstelle geht heutzutage allerdings kaum noch eine Gefahr aus. Das hat nicht nur damit zu tun, dass Handys kaum noch auf das GSM-Netz zugreifen. Auch Websites und Apps sind mittlerweile besser geschützt durch SSL-Verschlüsselung, die Daten auf dem Weg vom Nutzer zu Onlineservern zusätzlich absichert.

Auch ist es nicht mehr üblich, dass der Quelltext internationaler Standards geheim bleibt. »Heute sind die Algorithmen in der Regel quelloffen«, sagt Leander.