LTE-Netz Sicherheitslücke im Mobilfunknetz ermöglichte Abhören von Telefonaten

Forscher der Ruhr-Uni Bochum haben aufgedeckt, dass LTE-Anrufe weltweit entschlüsselt und ausspioniert werden konnten. Dank der Arbeit der Forscher konnte auch die Sicherheit von 5G verbessert werden.
Foto: Arno Burgi/ dpa

Vier IT-Sicherheitsforscher haben eine über Jahre offenliegende Schwachstelle in modernen Mobilfunknetzen aufgedeckt. David Rupprecht, Katharina Kohls und Thorsten Holz von der Ruhr-Uni Bochum und Christina Pöpper von der NYU Abu Dhabi haben gezeigt, wie eigentlich verschlüsselte Telefonate im Mobilfunknetz mitgeschnitten und entschlüsselt werden konnten.

Von der Schwachstelle sind Anrufe im LTE-Netz betroffen - und zwar weltweit. Diese werden seit mehreren Jahren zumindest teilweise über den 2014 eingeführten Standard Voice-over-LTE (VoLTE) abgewickelt, der die Anrufe als Schutzmaßnahme verschlüsselt.

Den Forschern ist es gelungen, diese Verschlüsselung unter bestimmten Bedingungen auszuhebeln. Die Opfer eines Angriffs hätten davon nichts mitbekommen. Das geht aus einem Papier hervor, das die Wissenschaftler am Mittwoch auf der Fachkonferenz "Usenix Security" unter dem Titel "ReVoLTE" präsentieren. Das Papier lag dem SPIEGEL vorab vor.

Die Schwachstelle ist inzwischen behoben, wie der Branchenverband GSMA mitteilte. Den Verband, in dem sich alle großen Mobilfunkunternehmen zusammengeschlossen haben, haben die Bochumer Wissenschaftler bereits Ende des vergangenen Jahres über ein dafür vorgesehenes Verfahren informiert. Es ist unbekannt, ob die Lücke tatsächlich ausgenutzt wurde.

Annähern und Mitschneiden

Die Forscher der Ruhr-Uni Bochum haben die Sicherheitslücke nicht nur im Labor erforscht, sondern auch an verschiedenen Orten in Deutschland in der Praxis getestet. Der Hack funktioniert in drei Schritten.

Um ein Telefonat abzuhören, mussten sich die Forscher zunächst in derselben Funkzelle wie ihr Opfer befinden. In Städten haben solche LTE-Funkzellen meist eine Reichweite von nur einigen hundert Metern, im ländlichen Bereich kann die Reichweite mehrere Kilometer betragen.

Im zweiten Schritt konnten sie dank spezieller Technik, sogenannter "Passive Downlink Sniffer", ein Telefonat mitschneiden - erhielten dabei aber zunächst nur verschlüsselten, unentzifferbaren Datensalat. Dazu benötigten sie lediglich die Telefonnummer ihrer Opfer. Diese lässt sich für Hacker mit entsprechenden Fähigkeiten aber auch über die Funkzelle ermitteln, was allerdings illegal wäre.

Verschlüsselung preisgegeben

Nachdem ihr Opfer das Telefonat beendet hatte, riefen die Sicherheitsforscher die Person im dritten Schritt selbst an. Je länger sie die Person in der Leitung halten können, umso besser. Während dieses zweiten Telefonats konnten die Forscher aus dem Datenverkehr der Basisstation die Schlüssel auslesen, die sie brauchten, um das vorher aufgezeichnete Gespräch zu entschlüsseln.  

"Das Problem war, dass der gleiche Schlüssel auch für weitere Anrufe wiederverwendet wurde", sagt David Rupprecht, einer der beteiligten Forscher. Wenn das zweite Gespräch fünf Minuten dauerte, konnten von dem vorherigen Gespräch auch fünf Minuten entschlüsselt werden.

Die Sicherheitslücke auszunutzen, ist also nicht ohne Weiteres für jeden Hacker möglich. Die benötigte Spezialtechnik, also der passive Sniffer, kostet einige tausend Euro. David Rupprecht berichtet, dass die Experten mehrere Monate an ihrer Untersuchung gearbeitet hätten.

Angreifer konnten unbemerkt lauschen

Die Schwachstelle lag in fehlerhaften Konfigurationen der Basisstationen des LTE-Netzes begründet. Diese Basisstationen werden weltweit nur von wenigen großen Unternehmen wie Huawei, Ericsson und Nokia hergestellt. Mobilfunkprovider wie die Telekom, Vodafone oder Telefónica bauen ihre Netze dann mit dieser Technik auf.

Da die Schwachstelle auf der Ebene der grundlegenden Infrastruktur bestand, dürften weltweit zahlreiche LTE-Netze betroffen sein. "Die Sicherheitslücke war nicht nur ein deutsches, sondern ein weltweites Problem", sagt David Rupprecht dem SPIEGEL. "Wir haben zum Beispiel auch Daten aus Südkorea bekommen, die zeigten, dass auch dort Funkzellen anfällig waren."

Problem bekannt, Problem behoben

Wie viele Menschen genau VoLTE für Anrufe nutzen, ist nicht bekannt, da diese Daten nicht exakt erhoben werden. Laut Telefónica verwenden in Deutschland aktuell rund ein Drittel der O2-Kundinnen und Kunden diese Technik.

Die drei großen in Deutschland tätigen Mobilfunkunternehmen Vodafone, Deutsche Telekom und Telefónica haben die Schwachstelle dem SPIEGEL bestätigt. Die Unternehmen dankten jeweils den Forschern und berichteten, dass die Lücke inzwischen geschlossen sei. Der GSMA-Verband hatte an seine Mitglieder Empfehlungen herausgegeben, wie die Schwachstelle behoben werden kann. Die beteiligten Forscher konnten bei aktualisierten Basisstation feststellen, dass ihr Angriff nicht mehr funktioniert.

Für David Rupprecht zeigt die Sicherheitslücke, dass es bei der Sicherheit im Mobilfunknetz sehr wichtig ist, den Gesamtprozess der Entwicklung, Installation und Nutzung zu sehen: "Von der Hardware, über die Spezifikation, die die benutzten Protokolle definiert, bis hin zu den Implementierungen durch die Unternehmen."

Dank den Wissenschaftlern wurden auch die Standards für Telefonie in 5G inzwischen so präzisiert, dass die Fehler bei der Konfiguration in den Basisstationen für das 5G-Netz nicht wieder passieren können.

Ein Student der Ruhr-Uni Bochum, Bedran Karakoc, hat in Zusammenarbeit mit den Forschern außerdem eine Android-App entwickelt, die es technisch affinen Personen ermöglicht, die Sicherheit von 5G-Basisstationen selbst zu prüfen. So sollen auch mögliche Probleme in Zukunft gemeldet werden können, falls es bei den Basisstationen doch wieder zu Problemen kommt.

Auf einer Website  haben die Forscher weitere Details und einen Download-Link zur ihrer App veröffentlicht.

Die Wiedergabe wurde unterbrochen.