ZTE-Mobilfunk: Immer dieselben Schlüssel für Voice over WiFi

Inhaltsverzeichnis

Handygespräche über WLAN statt das Mobilfunknetz – das geht mit VoWiFi (Voice over WiFi). Dabei laufen die Gespräche über einen WLAN-Hotspot und das öffentliche Internet zur Vermittlungszentrale des Mobilfunkers. Also ist Verschlüsselung besonders wichtig, nicht bloß als Schutz gegen Lauscher, sondern auch gegen Malware und Mehrwertbetrug. Umso schwerer wiegen die Erkenntnisse einer österreichischen Forschergruppe: Es steht schlecht um die Verschlüsselung bei VoWiFi, in Netzen und bei Endgeräten.

Den Vogel abgeschossen hat der chinesische Netzausrüster ZTE: Wie Adrian Dabrowski (CISPA Helmholtz-Zentrum für Informationssicherheit), Gabriel Gegenhuber (Universität Wien) und Kollegen herausgefunden haben, nutzten Mobilfunknetze von ZTE immer die selben kryptographischen Schlüssel beim Aufbau von VoWiFi-Verschlüsselung. Die Scans der Forscher haben gleich 13 ZTE-Mobilfunknetze gefunden, die beim Einbuchen eines Kunden in VoWiFi stets auf vorgegebene Diffie-Hellman-Schlüssel (DH) zurückgriffen. Darunter waren sogar DH-Schlüssel von geringer Länge (786, 1024 und 1536bit), die als unsicher und daher veraltet gelten. Diese 13 Netze haben insgesamt rund 140 Millionen Kunden.

Für jede Schlüssellänge hat ZTE in sein für VoWiFi genutztes Gateway (Evolved Packet Data Gateway, ePDG) lediglich zehn verschiedene DH-Schlüssel einprogrammiert. Damit konnten sowohl ZTE als auch jeder betroffene ZTE-Netzbetreiber die VoWiFi-Verschlüsselung mit DH aller anderen ZTE-Netze brechen – und jede Behörde oder sonstiger Angreifer, der sich in einem Land die Schlüssel besorgen konnte. Die Dunkelziffer dürfte deutlich über den 13 aufgespürten Netzen mit ihren 140 Millionen Kunden liegen.

Der chinesische Netzwerkausrüster spricht von einem Fehler (CVE-2024-22064, Risikostufe hoch); für Entwicklung und Tests genutzte Schlüssel seien irrtümlich in den ausgelieferten Systemen verblieben. Inzwischen gibt es ein Update; Mitte März und damit am Schnellsten eingespielt hat es der österreichische Mobilfunker Drei (Hutchison), dessen ZTE-Netz die staatliche China Development Bank finanziert hat. Ende März folgte die slowakische 4ka, Anfang April Yettel im Ungarn sowie zwei brasilianische Netze. Bei DiGi in Malaysia dauerte es bis 23. Mai, die Nepal Telecom schaffte bis zum Beobachtungsstichtag am 31. Mai das Update nicht.

Dreifache Verschlüsselung – theoretisch

Eigentlich können VoWiFi-Verbindungen gleich dreifach verschlüsselt sein. Zunächst handeln Endgerät und Mobilfunk-Gateway über eine abgewandelte Variante des IKE-Protokolls (Internet Key Exchange) aus, dass der Kunde tatsächlich eine gültige SIM-Karte und Rufnummer besitzt und welche asymmetrischen Diffie-Hellman-Schlüsselpaare mit welchen Parametern verwenden werden. Sowohl das Endgerät als auch das Netz teilen mit, welche Schlüssellängen sie unterstützen – theoretisch wählen sie dann den längsten gemeinsamen Nenner. Die Praxis sieht leider anders aus (siehe unten).

Der äußere Tunnel bleibt solange bestehen, als das Endgerät über die selbe IP-Adresse und WLAN online ist und ein gesetztes Zeitlimit noch nicht abgelaufen ist. Solange hat ein Angreifer Zeit, die DH-Verschlüsselung zu knacken. Innerhalb dieser Verschlüsselung wird, zweitens, ein IPSec-Tunnel mit einem symmetrischen Schlüssel zur Verschlüsselung der Nutzdaten aufgesetzt. Drittens kann auf Ebene des Voicer-over-IP-Servers (SIP und RTP) noch eine dritte Verschlüsselung eingezogen werden.

Also ist der Bruch der äußerten Verbindung vielleicht gar nicht so schlimm? Doch, sagen die Forscher: Denn für die zweite Verschlüsselungsebene findet keine Integritätsprüfung mehr statt. Hat ein Angreifer die DH-Verschlüsselung gebrochen, kann er sich beim nächsten Austausch der symmetrischen Verschlüsselung dazwischenklemmen (Monster in the Middle, MitM) und alles mitlesen. Die dritte Verschlüsselung auf SIP-Ebene wird von den meisten Netzbetreibern nicht durchgesetzt; sie vermitteln in der Praxis auch unverschlüsselte VoWiFi-Gespräche. Den entsprechenden Parameter kann der Angreifer setzen.

Ein erfolgreicher Täter kann nicht nur Gespräche abhören und verfälschen, sondern auch Daten einschleusen und damit beispielsweise Malware auf das Endgeräte spielen, oder Anrufe mit fremder Rufnummer führen, gerne auch zu Mehrwertnummern. Es geht also um mehr als "nur" die Privatsphäre.

Schluder bei Schlüssellängen

Entsprechend wichtig ist, die DH-Verschlüsselung gut aufzusetzen. Und gerade dort legen Dabrowski, Gegenhuber und Co der Branche den Finger in die Wunde, nicht bloß ZTE: Die Konfigurationen sind unvollständig, und die Gateways der Mobilfunker schlampig. Frappierend ist, wie oft sie Downgrades auf weniger sichere DH-Schlüssel zulassen – genau da würde ein Angreifer ansetzen und durch Einschleusen einer Fehlermeldung auf ein Downgrade drängen (entweder beim Netzgateway oder beim Endgerät). Je kürzer ein Schlüssel gleicher Art ist, und je länger er gültig bleibt, umso eher kann ein Angreifer die DH-Verschlüsselung knacken.

Die Österreicher haben rund 250 Mobilfunknetze in aller Welt sowie vier verschiedene Handy-Chipfamilien getestet, mit abschreckenden Ergebnissen. Zwei Mobilfunknetze unterstützen für Voice over WiFi ausschließlich DH1 (768 Bit), das bereits gut ausgerüstete Forscher in endlicher Zeit knacken können. 77 Netze bieten ausschließlich DH2 (1024 Bit), das einschlägig organisierte Kriminelle und natürlich Geheimdienste brechen können – obwohl die Standardisierungsorganisation 3GPP den kurzen DH2-Schlüssel nie zur Nutzung vorgeschlagen hat.

Ein weiteres Dutzend Netzbetreiber unterstützt beide unsicheren Schlüsselaustauschverfahren DH1 und DH2. Nimmt man noch den ebenfalls veralteten DH5 mit 1536 Bit Länge hinzu, fallen 93 Prozent der Netzgateways durch. Sie unterstützen Diffie-Hellmann-Schlüssellängen, die schon seit 2015 nicht mehr ratsam sind.