Mobilgeräte lassen sich via Fake-Basisstationen auch in 5G kapern

Kaum laufen die ersten Tests der neuen 5G-Netzwerke, schon melden sich erste Stimmen, die gewisse Sicherheitslücken beanstanden. Die Security in 5G, genannt 5G AKA (Authentication and Key-Agreement) baut auf den AKA-Protokollen der 3G- und 4G-Technologie auf. Eines der Probleme der älteren Protokolle ist, dass 3G- und 4G-Geräte leicht mit Fake-Basisstationen überwacht werden können, sogenannten IMSI Catcher (International-Mobile-Subscriber-Identity-Catcher), auch StingRays genannt. Dabei verbindet sich das Mobilgerät automatisch mit den betrügerischen Basisstationen, da die GSM-Technologie immer das naheste und stärkste Netz priorisiert. Ist ein solches in der Umgebung, bemerkt es der Anwender vermutlich nicht, wenn sich das Mobilgerät mit der Fake-Basisstation verbindet.

Dieses Sicherheitsproblem sollte eigentlich mit der 5G-Technologie gelöst werden. Dem ist jedoch leider nicht so, wie Forscher im White-Paper „New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols“ beschreiben. Grund sind tiefergehende Probleme mit dem AKA-Protokoll.

 

So funktioniert die Sicherheitslücke

Verbindet sich ein Mobilgerät mit der betrügerischen Basisstation, können Angreifer nicht nur das Gerät und seinen Besitzer identifizieren. Viel mehr noch, sie können zusätzlich den physischen Standort verfolgen und eine sogenannte Downgrade-Attacke starten, bei der Sicherheitsfunktionen, etwa die Verschlüsselung, abgeschaltet werden. Dabei werden IMSI-Catcher dadurch unterstützt, dass sich das Gerät zwar über seine eindeutige Teilnehmeridentität im Netzwerk authentifiziert, die Basisstation aber im Gegenzug nicht authentifiziert werden muss. Grund dieser Einseitigkeit sind die Ursprünge des Mobilfunknetzes, wo die Interoperabilität mit Basisstationen unterschiedlichster Hersteller Vorrang hatte. Wäre diese alte Sicherheitslücke geschlossen, würden betrügerische Basisstationen unter 5G zwar noch eine Verbindung zum Mobilgerät herstellen, allerdings könnte die Identität des Teilnehmers durch eine vom Mobilfunknetz verwaltete Public-Key-Verschlüsselung verborgen bleiben.

Diese Verschlüsselung der Identität können Angreifer jedoch zunichtemachen, indem sie andere Informationen der AKA-Protokolle auswerten. Dazu gehören beispielsweise Muster im Anmeldeverhalten und der Nutzung von Mobildiensten. Auf diese Weise können Angreifer auf die Identität eines Gerätes schließen, ohne den Inhalt der Kommunikation einsehen zu müssen.

 

Zeit für Abhilfe

Michael Veit, Technology Evangelist bei Sophos

Es gibt dennoch gute Gründe, weshalb sich Nutzer von Mobilgeräten etwas weniger Sorgen um ihre Privatsphäre machen müssen. Dazu Michael Veit, Security Experte bei Sophos: „Die Angreifer benötigen eine neue Generation an IMSI-Catchern, um die Sicherheitslücke in 5G auszunutzen. Zudem bedarf es im Vergleich zu 3G und 4G an weit mehr Raffinesse, um eine Standortverfolgung unter 5G zu realisieren. Diese beiden Umstände verschaffen Zeit für zusätzliche Schutzmechanismen.“ Veit beschreibt eine weitere Tatsache, die zumindest zeitweise für Entspannung sorgt: „Die Forscher haben die 5G-Security in der ersten Phase untersucht, in der diese Technologie noch nicht flächendeckend zur Verfügung steht. Damit ist es möglich, bereits in der zweiten Phase etwas gegen dieses Sicherheitsproblem zu unternehmen. Die Forschungsergebnisse wurden vom 3GPP und GSMA anerkannt und es werden Abhilfemaßnahmen zur Verbesserung des Protokolls für die nächste Generation eingeleitet.“

#Netzpalaver #Sophos