Ein neuer Angriff ermöglicht es Hackern, die Verschlüsselung von VoLTE zu knacken, um so Telefongespräche ausspionieren zu können.
Ein Team von akademischen Forschern hat Anfang des Jahres Schlagzeilen gemacht, als sie gravierende Sicherheitsprobleme in 4G-LTE- und 5G-Netzen aufdeckten. Nun haben sie einen neuen Angriff namens “ReVoLTE” vorgestellt, mit dem Angreifer die Verschlüsselung von VoLTE-Sprachanrufen knacken und gezielt Gespräche abhören können.
Der Angriff nutzt keine Schwachstelle im Voice-over-LTE-Protokoll (VoLTE), sondern die schwache Implementierung des LTE-Mobilfunknetzes bei den meisten Telekommunikationsanbietern, so dass ein Angreifer verschlüsselte Telefongespräche seiner Opfer abhören kann.
Bei VoLTE (Voice over Long Term Evolution Protocol) handelt es sich um einen Standard für die drahtlose Hochgeschwindigkeitskommunikation für Mobiltelefone und Datenendgeräte, einschließlich Geräte für das Internet der Dinge (Internet of Things – IoT) und tragbare Geräte, die die 4G-LTE-Funktechnologie verwenden.
Das Problem ist, dass bei den meisten Mobilfunkbetreibern für zwei aufeinander folgende Anrufe innerhalb einer drahtlosen Verbindung häufig derselbe Schlüsselstrom verwendet wird, um die Sprachdaten zwischen dem Telefon und derselben Basisstation, d. h. dem Mobilfunkmast, zu verschlüsseln.
Der neue ReVoLTE-Angriff nutzt daher die Tatsache aus, dass anfällige Basisstationen den gleichen Schlüsselstrom wiederverwenden, und ermöglicht es Angreifern, den Inhalt von VoLTE-unterstützten Sprachanrufen zu entschlüsseln, wie im folgenden Szenario dargestellt.
Die Wiederverwendung eines vorhersagbaren Schlüsselstroms ist jedoch nicht neu und wurde zum ersten Mal von Raza & Lu demonstriert. Der ReVoLTE-Angriff macht ihn jedoch zu einem praktischen Angriff.
Um diesen Angriff auszuführen, muss der Angreifer mit derselben Basisstation wie das Opfer verbunden sein und einen Downlink-Sniffer installieren, um einen “gezielten Anruf” des Opfers an eine andere Person zu überwachen und aufzuzeichnen, der später in der ersten Phase des ReVoLTE-Angriffs entschlüsselt werden muss.
Sobald das Opfer den “gezielten Anruf” aufgelegt hat, muss der Angreifer das Opfer anrufen, normalerweise innerhalb von 10 Sekunden. Dadurch wird das verwundbare Netzwerk gezwungen, einen neuen Anruf zwischen dem Opfer und dem Angreifer über dieselbe Funkverbindung zu initiieren, die für den vorherigen gezielten Anruf verwendet wurde.
“Die Wiederverwendung des Keystreams tritt dann auf, wenn sowohl der Zielruf als auch der Keystream-Ruf den gleichen Verschlüsselungsschlüssel auf Benutzerebene verwenden. Da dieser Schlüssel bei jeder neuen Funkverbindung aktualisiert wird, muss der Angreifer sicherstellen, dass das erste Paket des Keystream-Anrufs innerhalb der aktiven Phase nach dem Zielanruf ankommt”, so die Forscher.
Sobald die Verbindung hergestellt ist, muss der Angreifer in einem zweiten Schritt das Opfer in ein Gespräch verwickeln und dieses im Klartext aufzeichnen. Daraus kann der Angreifer später den für den nächsten Anruf verwendeten Keystream rückwärts berechnen.
Durch eine XOR-Verknüpfung des Keystreams mit dem entsprechenden verschlüsselten Frame des in der ersten Phase aufgezeichneten Anrufs lässt sich der Inhalt des Anrufs entschlüsseln. So kann der Angreifer nachvollziehen, welches Gespräch sein Opfer während des vorherigen Telefonats geführt hat.
“Alle RTP-Daten werden auf die gleiche Weise verschlüsselt wie die Sprachdaten des Zielanrufs, da dies zum gleichen Keystream führt. Der Angreifer bricht den Anruf ab, sobald eine ausreichende Menge an Keystream-Daten generiert wurde”, heißt es in dem Papier.
Die Länge des zweiten Aufrufs sollte jedoch größer oder gleich der Länge des ersten Aufrufs sein, damit jeder Frame dekodiert werden kann, ansonsten kann nur ein Teil der Kommunikation dekodiert werden.
“Wichtig ist, dass der Täter das Opfer in ein längeres Gespräch verwickeln muss. Je länger der Täter mit dem Opfer spricht, desto mehr kann er von der vorherigen Kommunikation entschlüsseln”, heißt es in dem Papier.
“Jeder Frame ist mit einem Zähler verknüpft und mit einem individuellen Keystream verschlüsselt. Dieser wird während der Keystream-Berechnung extrahiert. Da der gleiche Zählerstand den gleichen Keystream erzeugt, synchronisiert der Zählerstand die Keystreams mit den verschlüsselten Frames des Aufrufs an das Ziel. Mittels XOR-Verknüpfung der Keystreams mit dem entsprechenden verschlüsselten Frame wird der Destination Call entschlüsselt.”
“Da wir den gesamten Ruf entschlüsseln wollen, muss der Keystream-Ruf so lang sein wie der Zielruf, um eine ausreichende Anzahl von Paketen zu liefern, sonst können wir nur einen Teil des Rufes entschlüsseln”.
Um die praktische Durchführbarkeit des ReVoLTE-Angriffs zu demonstrieren, wurde von einem Forscherteam der Ruhr-Universität Bochum eine End-to-End-Version des Angriffs in einem kommerziellen, verwundbaren Netzwerk und mit kommerziellen Telefonen durchgeführt.
Das Team verwendete den Downlink-Analyzer Airscope von Software Radio System, um den verschlüsselten Datenverkehr abzuhören, und drei Android-basierte Telefone, um den bekannten Klartext auf dem Telefon des Angreifers zu empfangen. Anschließend wurden die beiden aufgezeichneten Gespräche miteinander verglichen, um den Verschlüsselungscode zu ermitteln und schließlich einen Teil des vorherigen Gesprächs zu entschlüsseln.
Sie können sich das Demonstrationsvideo des ReVoLTE-Angriffs ansehen, bei dem die Kosten für die Einrichtung des Angriffs und die Entschlüsselung des Downlink-Verkehrs nach Angaben der Forscher weniger als 7000 US-Dollar betragen könnten.
Um das Ausmaß des Problems zu ermitteln, testete das Team eine Reihe zufällig ausgewählter Funkzellen in ganz Deutschland. Es stellte sich heraus, dass 12 von 15 Basisstationen in Deutschland betroffen waren. Die Forscher gehen jedoch davon aus, dass die Sicherheitslücke auch andere Länder betrifft.
Anfang Dezember 2019 informierten die Forscher die betroffenen deutschen Basisstationsbetreiber über das GSMA Coordinated Vulnerability Disclosure Programme über den ReVoLTE-Angriff. Die Betreiber konnten die Patches bis zum Zeitpunkt der Veröffentlichung installieren.
Da das Problem auch eine große Anzahl von Betreibern weltweit betrifft, haben die Forscher eine Open-Source-Android-App namens Mobile Sentinel veröffentlicht, mit der Sie feststellen können, ob Ihr 4G-Netz und Ihre Basisstationen für den ReVoLTE-Angriff anfällig sind oder nicht.
Die Forscher – David Rupprecht, Katharina Kohls und Thorsten Holz von der Ruhr-Universität Bochum und Christina Pöpper von der NYU Abu Dhabi – haben auch eine eigene Website und einen Forschungsbericht als PDF mit dem Titel “Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE” herausgegeben.
Verschlüsselte Anrufe schützen Sie vor denen, die Ihre Anrufe nicht abhören können, aber nicht vor denen, die Ihre Anrufe abhören können – den Strafverfolgungsbehörden. Lesen Sie mehr.
Welchen Sinn hat es, die Telefonnummer zu ändern und vor allem, welchen Schutz erhalten Sie dadurch? Ist dies die richtige Methode, um sich zu schützen? Lesen Sie diesen Artikel
Ein Anbieter hat eine gefälschte Website eingerichtet, die vorgibt, von Amnesty International zu stammen, und Benutzern eine Software anbietet, die sie vor der Pegasus-Malware der NSO-Gruppe schützt. In Wirklichkeit handelt es sich um einen Remote Access Trojaner (RAT).
