Ruhr-Uni Bochum

Sicher­heits­lücke in LTE- und 5G-Standard

Die Erfinder von LTE haben offenbar bewusst auf einen Integritätsschutz verzichtet und damit eine Sicher­heits­lücke offengelassen. Diese konnten deutsche Forscher nun ausnutzen für Webseiten-Umleitungen.
Von

Wissenschaftler zeigen Sicherheitslücke in LTE David Rupprecht, Thorsten Holz und Katharina Kohls (von links) nutzen Software Defined Radios, um die Angriffe auf das LTE-Netz im Labor zu testen.
Bild: RUB, Marquard
Wenn ein Mobilfunkstandard wie LTE oder gerade eben 5G neu kreiert wird, geht die Fachwelt davon aus, dass die Standardi­sierungs­organi­sationen und alle mit­arbeitenden Unter­nehmen den Standard bestmöglich gegen Angriffe absichern. Doch GSM hatte Schwachstellen, in UMTS gab es Sicherheitslücken und Geheim­dienste versuchten, in die Netze einzudringen. Nun haben deutsche Forscher eine Lücke in LTE entdeckt, die womöglich mit in 5G übernommen wird.

IT-Experten vom Horst-Görtz-Institut der Ruhr-Universität Bochum haben ermittelt, dass über Sicherheitslücken im LTE-Standard Angreifer herausfinden können, welche Internetseite ein bestimmter Nutzer besucht und ihn sogar auf eine gefälschte Webseite umleiten. Schützen kann man sich als LTE-Nutzer nach Angaben der Forscher derzeit nur teilweise.

Auf den Integritätsschutz wurde verzichtet

Wissenschaftler zeigen Sicherheitslücke in LTE David Rupprecht, Thorsten Holz und Katharina Kohls (von links) nutzen Software Defined Radios, um die Angriffe auf das LTE-Netz im Labor zu testen.
Bild: RUB, Marquard
Betroffen von der Lücke sind alle Geräte, die in LTE-Netzen funken, also Smartphones, Tablets oder auch vernetzte Haushaltsgeräte. Laut den Forschern werden Daten, die über LTE übertragen werden, zwar verschlüsselt, aber nicht auf ihre Integrität überprüft. Dies bietet einem Angreifer die Möglichkeit, den verschlüsselten Datenstrom zu verändern und dafür zu sorgen, dass die Nachrichten an einen anderen Server umgeleitet werden, ohne dass der Nutzer dies bemerkt.

Der Angriff lässt sich mit frei im Handel käuflicher Ausrüstung im Wert von rund 4000 Euro durchführen. Benötigt werden ein Computer und zwei "Software Defined Radios", die das Senden und Empfangen von LTE-Signalen ermöglichen. Der Angreifer muss sich in der Nähe des Opfer-Smartphones aufhalten. Eine der beiden Funkstationen gibt sich beim Opfer-Smartphone als Mobilfunknetz aus, das andere gibt sich beim echten Mobilfunknetz als Smartphone aus. So können die Hacker über das System bestimmte Daten gezielt verändern und gleichzeitig den Großteil der Daten unverändert weiterleiten. Laut Tests der Forscher kann der Angreifer einige Hundert Meter vom Smartphone des Ausgespähten entfernt sein, um den Angriff durchzuführen.

Wurde der Nutzer von den Hackern durch den Angriff auf eine gefälschte Webseite umgeleitet, kann der Angreifer dann dort beliebige Aktionen durchführen. Auf der Seite können zum Beispiel eingegebene Passwörter oder andere persönliche Daten abgegriffen werden. Laut den Forschern wurde bei der Standardisierung von LTE bewusst auf einen Integritätsschutz verzichtet - dieser würde die Angriffe wirksam verhindern. Für diese Sicherheitsmaßnahme müssten an alle übertragenen Nutzerdaten zusätzliche vier Byte angehängt werden. Die Wissenschaftler gehen davon aus, dass auf den Integritätsschutz schlicht und ergreifend deswegen verzichtet wurde, weil Datenübertragung für die Netzbetreiber Geld kostet und teuer ist.

Nutzer sind der Lücke nicht schutzlos ausgeliefert

Die Wissenschaftler der Ruhr-Universität Bochum zeigen auf, dass man der Sicherheitslücke nicht komplett schutzlos ausgeliefert ist. Webseiten oder Apps, die das Sicherheitsprotokoll HTTPS in der richtigen Konfiguration verwenden, würden einen zuverlässigen Schutz gegen eine Umleitung bieten. Sie geben eine Warnung aus, wenn ein Nutzer auf eine falsche Seite umgeleitet werden soll.

Nicht verhindern lässt sich allerdings, dass ein Angreifer diverse Aktivitäten auf dem Smartphone mitverfolgen kann. Der Hacker kann über den Angriff beispielsweise herausfinden, wer der Nutzer ist und welche Webseiten er aufruft. Durch das Mitschneiden passiver Metadaten der Verbindung konnten die Forscher nur anhand des Traffic Pattern - also anhand der Menge von Nutzdaten, die ein Gerät in einem bestimmten Zeitraum sendet, - Rückschlüsse darauf ziehen, welche Webseite der Nutzer aufgerufen hatte. Ihre gesammelten Forschungsergebnisse haben die Wissenschaftler auf der Webseite alter-attack.net veröffentlicht.

teltarif.de verwendet übrigens bereits seit 2016 eine generelle HTTPS-Verschlüsselung.

Mehr zum Thema Sicherheitslücke