Modifizierte Handys fangen Telefonate und SMS ab

"Lass mich für dich rangehen": Eine Berliner Forschungsgruppe hat eine schwerwiegende konzeptionelle Schwäche des GSM-Standards aufgedeckt und unter einem teils ironischen Titel veröffentlicht.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Dusan Zivadinovic

Wissenschaftler der TU Berlin haben demonstriert, wie sich das per Broadcast-Nachricht gesendete GSM-Paging-Signal durch manipulierte Mobiltelefone zum Umleiten von Telefonaten oder SMS-Nachrichten missbrauchen lässt. Nico Golde, Kévin Redon und Jean-Pierre Seifert haben ihre Forschungsarbeit, die unter dem Dach der TU Berlin und den Innovation Laboratories der Deutschen Telekom entstand, unter dem ironischen Titel Let Me Answer That For You: Exploiting Broadcast Information in Cellular Networks veröffentlicht. Golde hatte den Ansatz bereits anlässlich des CCC in Hamburg im Dezember 2012 vorgestellt. Eine ausführliche Dokumentation (PDF-Datei) ist nun im Rahmen des 22nd USENIX Security Symposium in Washington erschienen.

Dahinter steht eine konzeptionelle Schwäche der GSM-Spezifikation: Bevor das Mobilfunknetz ein Telefonat oder eine SMS zustellt, sendet es einen Rundruf, mittels dem es das Zielgerät auffordert, sich zu melden und das Gespräch oder die SMS anzunehmen. Das Paging-Signal wird in der Location Area von diversen Basisstationen in ihre jeweiligen Zellen abgestrahlt und es enthält die Mobile Identity des Zielgeräts (TMSI/IMSI).

Bevor ein Telefonat oder eine SMS zugestellt werden kann, muss das Mobilfunknetz das Ziel-Handy finden. Dafür sendet es eine Paging-Nachricht über alle Basisstationen einer Location Area ab, die alle darin befindlichen Handys empfangen.

Die Entwickler des Paging-Verfahrens sind seinerzeit davon ausgegangen, dass das Mobilnetz die Mobile Identity nur vertrauenswürdigen Gegenstellen übergibt (den Geräten der eigenen und der Roaming-Kunden), sodass ihr Protokoll nicht prüft, ob auch die tatsächlich gemeinte Gegenstelle antwortet. Wenn das Paging-Signal in den Handys eintrifft, dann vergleicht einfach jedes einzelne die mitgeschickte IMSI mit seiner eigenen und die, die nicht gemeint sind, ignorieren es. Nur das gemeinte Handy meldet sich, und nimmt dann entweder die SMS oder das Telefonat an.

Golde, Redon und Seifert demonstrieren, dass sich diese Konzeptschwäche zu einem Angriff ausnutzen lässt. Dafür haben die Forscher die OpenSource-Baseband-Firmware OsmocomBB so modifiziert, dass ein damit präpariertes Mobiltelefon Paging-Nachrichten mit beliebigen Mobile Identitys beantworten kann. Die Technik lässt sich prinzipiell aber auch zu Angriffen auf einzelne Handys abwandeln.

Die manipulierten Handys sind kein großer Kostenfaktor, da genügen Geräte der untersten Preiskategorie. Für den ganzen "Rest" braucht es schon deutlich mehr Aufwand – und Know-how.

In beiden Fällen sind zumindest empfindliche Störungen die Folge – wenn ein ungebetener Stellvertreter ein Telefonat oder eine SMS annimmt, kann er die eingehenden Signale nicht ohne Weiteres verwerten. Dazu muss der Mobilfunknetzbetreiber den jeweiligen Dienst entweder ohne Authentifizierung anbieten oder der Empfänger müsste die Authentifizierung knacken. Andernfalls kann das manipulierte Telefon Kurznachrichten nicht lesen und Gesprächsverbindungen nicht vollständig Aufbauen, sondern nur beide umleiten.

In der Studie wird ein solches Störpotenzial auf die Region Berlin hochgerechnet. Demnach genügen elf derart manipulierte Handys, um die Dienste eines kleineren Anbieters in Berlin zu unterbinden. Wenn die Dienste jedoch ohne Authentifizierung laufen oder die Authentifizierung kompromittiert werden kann, wird das Schadpotenzial deutlich größer. Beispielsweise lassen sich Mobil-TANs abgreifen, die im Online-Banking bei der Zweifaktor-Authentifizierung eingesetzt werden. Die zwei häufig eingesetzten GSM-Verschlüsselungsverfahren (A5/2 und A5/1) sind aber bereits geknackt worden, sodass dabei vor Angriffen über das Paging-Protokoll lediglich der – erhebliche – Aufwand schützt, der erforderlich wäre, die Komponenten aufzusetzen. A5/3 gilt zwar noch als sicher, aber es ist wenig verbreitet.

Mindestens die Protokollschritte bis zum gestrichelten Teil kann ein manipuliertes Handy ausführen.

Die Konzeptschwäche könnte auch in jüngeren Mobilfunkspezifikationen noch stecken. Viele GSM-Protokolle wurden im Kern für UMTS und LTE lediglich adaptiert, wurden aber nicht wesentliche überdacht. Und den vom GSM abgeleiteten Paging-Mechanismus gibt es auch in UMTS und LTE, sodass die modernen Netze entsprechender Geräte ebenfalls auf diese Weise angegriffen werden könnten. Freilich werden dabei die A5/-Verschlüsselungsverfahren nicht mehr eingesetzt. Dennoch sind die Vordenker der Mobilfunkspezifikationen gefragt, das praktische Angriffsrisiko abzuschätzen und Sicherheitsvorkehrungen zu entwickeln. (dz)