- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheitslücke in 5G ausnutzen


Sicherheitslücke in 3G und 4G auch noch in 5G vorhanden
Die Sicherheitslücke, 3G und 4G Mobilgeräte via Fake-Basisstationen zu kapern und anzugreifen, besteht grundsätzlich auch noch in 5G

- Anzeigen -





Kaum laufen die ersten Tests der neuen 5G-Netzwerke, schon melden sich erste Stimmen, die gewisse Sicherheitslücken beanstanden. Die Security in 5G, genannt 5G AKA (Authentication and Key Agreement) baut auf den AKA-Protokollen der 3G- und 4G-Technologie auf. Eines der Probleme der älteren Protokolle ist, dass 3G- und 4G-Geräte leicht mit Fake-Basisstationen überwacht werden können, sogenannten IMSI Catcher (International Mobile Subscriber Identity Catcher), auch StingRays genannt. Dabei verbindet sich das Mobilgerät automatisch mit den betrügerischen Basisstationen, da die GSM-Technologie immer das naheste und stärkste Netz priorisiert. Ist ein solches in der Umgebung, bemerkt es der Anwender vermutlich nicht, wenn sich das Mobilgerät mit der Fake-Basisstation verbindet.

Dieses Sicherheitsproblem sollte eigentlich mit der 5G-Technologie gelöst werden. Dem ist jedoch leider nicht so, wie Forscher im White Paper "New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols" beschreiben. Grund sind tiefergehende Probleme mit dem AKA-Protokoll.

So funktioniert die Sicherheitslücke
Verbindet sich ein Mobilgerät mit der betrügerischen Basisstation, können Angreifer nicht nur das Gerät und seinen Besitzer identifizieren. Viel mehr noch, sie können zusätzlich den physischen Standort verfolgen und eine sogenannte Downgrade-Attacke starten, bei der Sicherheitsfunktionen, etwa die Verschlüsselung, abgeschaltet werden. Dabei werden IMSI-Catcher dadurch unterstützt, dass sich das Gerät zwar über seine eindeutige Teilnehmeridentität im Netzwerk authentifiziert, die Basisstation aber im Gegenzug nicht authentifiziert werden muss. Grund dieser Einseitigkeit sind die Ursprünge des Mobilfunknetzes, wo die Interoperabilität mit Basisstationen unterschiedlichster Hersteller Vorrang hatte.

Wäre diese alte Sicherheitslücke geschlossen, würden betrügerische Basisstationen unter 5G zwar noch eine Verbindung zum Mobilgerät herstellen, allerdings könnte die Identität des Teilnehmers durch eine vom Mobilfunknetz verwaltete Public-Key-Verschlüsselung verborgen bleiben.

Diese Verschlüsselung der Identität können Angreifer jedoch zunichtemachen, indem sie andere Informationen der AKA-Protokolle auswerten. Dazu gehören beispielsweise Muster im Anmeldeverhalten und der Nutzung von Mobildiensten. Auf diese Weise können Angreifer auf die Identität eines Gerätes schließen, ohne den Inhalt der Kommunikation einsehen zu müssen.

Zeit für Abhilfe
Es gibt dennoch gute Gründe, weshalb sich Nutzer von Mobilgeräten etwas weniger Sorgen um ihre Privatsphäre machen müssen. Dazu Michael Veit, Security Experte bei Sophos: "Die Angreifer benötigen eine neue Generation an IMSI-Catchern, um die Sicherheitslücke in 5G auszunutzen. Zudem bedarf es im Vergleich zu 3G und 4G an weit mehr Raffinesse, um eine Standortverfolgung unter 5G zu realisieren. Diese beiden Umstände verschaffen Zeit für zusätzliche Schutzmechanismen."

Veit beschreibt eine weitere Tatsache, die zumindest zeitweise für Entspannung sorgt: "Die Forscher haben die 5G-Security in der ersten Phase untersucht, in der diese Technologie noch nicht flächendeckend zur Verfügung steht. Damit ist es möglich, bereits in der zweiten Phase etwas gegen dieses Sicherheitsproblem zu unternehmen. Die Forschungsergebnisse wurden vom 3GPP und GSMA anerkannt und es werden Abhilfemaßnahmen zur Verbesserung des Protokolls für die nächste Generation eingeleitet." (Sophos: ra)

eingetragen: 24.02.19
Newsletterlauf: 29.03.19

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Ansatz zur Cyberresilienz

    "Ankündigung der Zwangsvollstreckung - Beitragsservice" - diese Betreffzeile findet sich aktuell in vielen E-Mail-Posteingängen. Getarnt als Mahnung und Androhung einer Zwangsvollstreckung machen sich Cyberkriminelle laut Medienberichten die Korrektheit der deutschen Bürger zunutze und versenden Nachrichten mit gefährlichem Anhang. Die sehr realistisch wirkenden Fake-Mails, die im Namen der öffentlich-rechtlichen Rundfunksender verschickt werden, weisen den Empfänger darauf hin, dass er im Zahlungsverzug ist und bei ausbleibender Begleichung des Beitrags eine Zwangsvollstreckung droht. Im Rahmen der E-Mail wird das Opfer darauf hingewiesen, dass im Anhang eine genaue Beschreibung der nächsten Handlungsschritte zu finden ist. Doch dieses unscheinbar wirkende Word-Dokument hat es in sich. Das Öffnen allein ist dabei noch nicht gefährlich. Die Angreifer weisen aber darauf hin, dass für die vollständige Einsicht des Dokuments die Bearbeitung und der Inhalt aktiviert werden müssen - sobald dies geschieht, befindet sich der Trojaner auf dem Computer und kann sich von dort theoretisch im kompletten Netzwerk verbreiten.

  • Verwendung von SDKs & Sicherheitslücken

    Vor kurzem wurde BitSight dank seiner weltweit führenden Sinkhole-Infrastruktur auf eine Domain aufmerksam, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind die BitSight Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist. Ein SDK ist generell ein Software-Paket, das Programmcodes, Schnittstellen und häufig auch Anleitungen zur Verfügung stellt. Im speziellen Fall von Mobile Advertising SDKs integrieren App-Entwickler ein solches SDK in ihre App. Damit wird den Nutzern der App Werbung angezeigt und die Entwickler werden an den Werbeeinnahmen beteiligt. Das hilft den Entwicklern, die von ihnen entwickelten Anwendungen zu monetarisieren. Die App-Entwickler nehmen das SDK in ihre Apps auf, und das SDK übernimmt die Arbeit der Verbindung zu Werbeanbietern und der Einblendung von Anzeigen für die Benutzer.

  • Datensicherheit bei der Telefonie

    Snom erläutert, welche Rolle die Datensicherheit bei der Telefonie spielt - und wie Unternehmen teure Schäden durch Cyberangriffe abwehren können. Auch wenn heute die meisten Nutzer von Businesstelefonen wissen, dass ihre Stimme "over IP" transportiert wird, ist wohl den wenigsten klar, was das im Einzelnen heißt - und worauf es dabei ankommt. Während viele Privatnutzer sich noch auf offene Internetplattformen begeben, um für kein oder ein sehr schmales Budget mit Freunden und Verwandten zu telefonieren, ist das im professionellen Bereich zu Recht verpönt. Denn: Hier hat die Datensicherheit oberste Priorität, um Schäden vom Unternehmen wirksam abzuwenden. Anbieter von offenen Internetplattformen übernehmen in der Regel keine Garantie für die Sicherheit der übermittelten Daten - Gespräche und potenziell sensible Daten können so von Dritten abgehört oder abgefischt werden.

  • Unsicherheit unverschlüsselter Webseiten

    In der Schweiz scheint die IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU) noch ausbaufähig zu sein: Ein Großteil aller KMU verzichtet auf SSL-Verschlüsselung. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf Informationen der Swisscom-Tochter localsearch aufmerksam. Für eine Studie wertete localsearch mehr als 18.000 Schweizer KMU-Websites aus. Dabei zeigte sich: Fast jede zweite (41 Prozent) KMU-Webseite verzichtete auf ein SSL-Zertifikat. "Das hat zur Folge, dass weder die Identität der Webseite authentifiziert wurde, noch dass Daten verschlüsselt an Server übermittelt werden. Daraus ergibt sich wiederum ein Sicherheitsrisiko, das auch vom Suchmaschinenriesen Google als überdurchschnittlich relevant eingestuft wird", erläutert Christian Heutger, CTO der PSW Group, die Konsequenz.

  • Warum sollte man die IT-Security outsourcen?

    Das Garantieren der Sicherheit des Netzwerks ist eine der wichtigsten Aufgaben der Unternehmens-IT. Die ständig steigende Bedrohungslage und die immer komplexeren und gewiefteren Angriffe von Cyberkriminellen machen dies jedoch kontinuierlich schwieriger. Auch weil die überlasteten Sicherheitsexperten damit beschäftigt sind, Sicherheitslücken zu stopfen, und darüber hinaus kaum Zeit haben, neue Lösungen zu implementieren, die ihre Arbeit tatsächlich vereinfachen würden. Derzeit straucheln viele Unternehmen damit, dieses wichtige Problem zu lösen, also Sicherheit im hier und jetzt zu gewährleisten und die IT-Security fit für die Zukunft zu machen. Das größte Hindernis ist der akute Fachkräftemangel in der IT allgemein und im Security-Bereich speziell: Der Markt ist leergefegt. Kleine und mittelständige Unternehmen sind dabei am stärksten von diesem Problem betroffen, da die hoch spezialisierten Experten in diesem Bereich schnell von Großunternehmen angeworben werden, die deutlich höhere Gehälter bezahlen können.