Handy-Abhören und Passcode-Klau: SS7 für Attacken offen wie ein Scheunentor
Youtuber zeigen mit der Hilfe von Profis, wie einfach es ist, Handygespräche über die Roaming-Technik SS7 umzuleiten und abzuhören sowie SMS abzufangen.
(Bild: oatawa/Shutterstock.com)
Der Wissenschafts-Youtube-Kanal "Veritasium" von Derek Muller hat in einem aktuellen Video die Aufmerksamkeit auf gravierende und seit Jahren klaffende Lücken im Mobilfunksystem gelenkt. Zusammen mit dem Youtuber Linus Sebastian (Linus Tech Tips), führt er vor, wie dessen Handy angezapft und Einmalpasswörter für die 2-Faktor-Authentifizierung per SMS gestohlen werden können. Innerhalb eines Tages hat das Video mehr als drei Millionen Aufrufe und fast 10.000 Kommentare erhalten.
Die Ursache des Problems ist seit mehr als einem Jahrzehnt bekannt: SS7, das in 2G- und 3G-Netzwerken eingesetzte Signalisierungssystem Nummer 7 (Signalling System). Es dient der Autorisierung und Abrechnung beim Übergang zwischen Mobilfunknetzen, ermöglicht also insbesondere das Roaming. Muller unterwandert die Kommunikation mit dem Smartphone seines Freundes nicht selbst, sondern mithilfe des Berliner Sicherheitsforschers Karsten Nohl und dessen Team.
Die Experten vom Chaos Computer Club (CCC) erläuterten schon 2014, dass SS7 für Attacken offen steht wie ein Scheunentor. Da es keine Authentifizierungsfunktionen kennt, kann jeder mit Zugriff auf das Netz damit grundsätzlich anstellen, was er will. So lassen sich etwa Gespräche und SMS umleiten, entschlüsseln und abhören. Auch Ortung und Tracking werden darüber oft zum Kinderspiel. Ein Tracking-Versuch scheiterte bei Sebastians Provider jedoch an eingebauten Firewalls.
SS7 entwickelten die Telefongesellschaften in den 1980er Jahren aufgrund von Schwachstellen im alten Signalsystem, das etwa für Phreaking anfällig war. Damit schlossen sie zumindest aus, dass jemand das Netz durch das Senden von Tönen über die Sprachleitung kontrollieren konnte.
Tausende Wege zum Eindringen in SS7
"SS7 ist ein globales Netzwerk, genau wie das Internet", erklärt Nohl in dem Video. Solche Infrastrukturen benötigten ein Adressierungsschema, das besagt: "Das bin ich und das sind Sie." Bei SS7 kommen dafür statt IP-Adressen Global Titles (GTs) zum Zuge. Um eine globale Roaming-Abdeckung zu gewährleisten, schließen Netzbetreiber Vereinbarungen mit zwei Anbietern in jedem Land. Beide Seiten akzeptieren dabei im Allgemeinen nur Nachrichten beziehungsweise Befehle in Form von GTs, mit denen sie solche Kooperationen haben. Doch während es in den 80ern nur einige wenige große, renommierte Betreiber gab, die einander weitgehend vertrauen konnten, existieren mittlerweile über 1200 Betreiber und 4500 Netzwerke, von denen viele SS7-Zugriff benötigen.
"Manche von ihnen verkaufen ihre Dienste an Dritte weiter, manche lassen sich bestechen, manche können gehackt werden", berichtet Nohl. SS7-Zugriff lasse sich für ein paar Tausend Dollar im Monat erlangen. Angreifer brauchen neben der Telefonnummer die IMSI (International Mobile Subscriber Identity) eines Opfers, um im SS7-Netzwerk vertrauenswürdig zu wirken. Die zu erfassen, ist nicht schwer, sie lässt sich etwa über Routing-Informationen beziehen. Muller führt aus: "Indem wir das Netzwerk dazu bringen, zu glauben, sein Telefon sei im Roaming, können wir die Nummer", die ein Betroffener anruft, "in eine Nummer umschreiben, die wir kontrollieren". Als Mittelsmann sei es zugleich möglich, "in der Leitung zu sitzen und das Gespräch aufzuzeichnen". Bei SMS sei es ähnlich, sodass Muller einen Passcode für Sebastians Youtube-Konto ergattern konnte und damit Zugriff darauf erhielt.
Warum sich SS7-Nachfolger noch nicht durchsetzen
Pro Jahr gebe es noch immer 2,5 Millionen Tracking-Versuche und weitere Millionen bösartiger SS7-Anfragen, gibt Muller an. Viele Anbieter hätten nach den ersten SS7-Schwachstellenberichten 2014 zwar begonnen, besonders gefährliche GTs wie eine jederzeitige Abfrageanforderung abzulehnen. Nohl zufolge existieren aber über 150 andere vergleichbare, für eine vollständige SS7-Absicherung zu stoppende Titel. Das neue Signalsystem für 5G scheine zwar ziemlich sicher zu sein, werde aber noch von wenigen Betreibern genutzt. Es gebe "keinen globalen Vorstoß, SS7 durch eine der beiden neueren Versionen der Technologie zu ersetzen".
Ohne überraschende Vorkommnisse könnte es so bis zu 20 Jahre dauern, bis die tief in die Privatsphäre eingreifenden SS7-Netzwerke "endgültig abgeschaltet werden", befürchtet der Experte. Nach wie vor sei das Protokoll "das Rückgrat der 2G- und 3G-Kommunikation", ergänzt Muller. Der EU-Notruf eCall etwa basiere auf diesen Mobilfunkgenerationen. Voriges Jahr warnten zudem Forscher des Citizen Lab, dass SS7-Sicherheitslücken bei 5G trotz technischer Fortschritte eine große Gefahr blieben.
(mack)
