Hacker können auch neueste LTE-Netze knacken und alle Daten von Nutzern abfangen

"Kleiner Saunaclub" – so bezeichnet die Sicherheitsforscherin Silke Holtmanns das erste internationale Handynetz der 1980er Jahre. Das sogenannte 1G-Netz verband eine Handvoll Anbieter und ihre wenigen Tausend Kunden in Finnland, Norwegen, Dänemark und Schweden. Heute ist das Netz global und die Kunden surfen mobil mit 4G. Doch obwohl täglich Millionen Menschen private Details über ihre Handyverbindungen besprechen, ist das Mobilfunknetz sicherheitstechnisch an wesentlichen Punkten noch immer aufgebaut wie vor 35 Jahren.

Ein grundsätzliches Update in der Sicherheitsarchitektur hat es nie gegeben. Das wäre aber dringend nötig: "Die Zeiten des kleinen Saunaclubs von 1981 sind lange vorbei", sagt Holtmanns. "Heute sehe ich mir das Netz als Sicherheitsexperte an und kann nur sagen: Ups, jetzt sind da 800 Netzanbieter weltweit drin. Dafür war das ursprünglich gar nicht ausgelegt."

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Experten wie Holtmanns beobachten seit Jahren, wie anfällig Handynetze für Hackerangriffe sind. Der Öffentlichkeit dürfte kaum klar sein, wie groß die Schwachstellen sind. Die neueste Netzgeneration LTE sollte sicherer als die Vorgänger 1G- oder 3G-Netz.

Doch Holtmanns hat in einem Vortrag beim Hackerkongress des Chaos Computer Clubs Ende Dezember in Leipzig gezeigt, dass das nicht stimmt: Durch einen Angriff auf das LTE-Netz, den sie mit Kollegen entwickelt hat, können Hacker den gesamten Datenverkehr eines Nutzers auf ihrem eigenen Computer mitlesen und speichern – ohne dass das Opfer etwas davon bemerkt.

Prinzipiell können die Hacker alle über das mobile Internet versendeten Daten, wie Videos, Fotos, Textnachrichten, aufgerufene Websites oder eingetippte Passwörter abfangen. “All diese Daten werden ja meist im Klartextübertragen und den können wir als Hacker nun mal einsehen", erklärt Holtmanns im Gespräch mit Motherboard. Zum Ziel können nicht nur Einzelne werden, die Hacker anvisiert haben. Es ist denkbar, dass aufgrund dieser Sicherheitslücke Informationen zu allen Nutzern eines Netzes an Dritte gelangen."Die gute Nachricht ist immerhin: Der Angriff ist ziemlich kompliziert – Skript Kiddies können den nicht so einfach durchführen."

Die schwere Sicherheitslücke betrifft praktisch alle Handynutzer mit neueren Smartphones, die LTE-fähig sind. Dass das eigene Handy das LTE-Netz nutzt, erkennt man als Nutzer meist daran, dass im Display 4G bzw. LTE angezeigt wird. Der LTE-Standard ist das aktuell modernste und schnellste Verfahren zur Datenübertragung im Handynetz und wird von allen großen Mobilfunkunternehmen weltweit genutzt. Über das Netz verschicken die Firmen Daten und Informationen zwischen zentralen Servern, Funkmasten und den Handys ihrer Nutzern – hier klinken sich die Hacker für ihre Attacke ein.

Bei dem von Holtmanns, ihrem Kollegen Jani Ekman und dem Sicherheitsforscher Cathal McDaid entwickelten Angriff handelt es sich um eine sogenannte Man-in-the-Middle-Attack. Die Hacker schalten sich zwischen die legitime Verbindung von einem Nutzer mit den Servern seines Mobilfunkanbieters. Dazu manipulieren sie auch Daten auf dem Handy des Kundens, so dass sie dem Gerät vorgaukeln, ein authentischer Server seines Handyanbieters zu sein. So können sie alle übertragenen Daten abschöpfen und bequem über den eigenen Computer laufen lassen, dort mitlesen und speichern.

Sicherheitsforscherin beschäftigt sich schon seit seit über 17 Jahren mit den Schwächen von Mobilfunknetzen. An ihrem jüngsten Angriff hat sie rund ein halbes Jahr geforscht. Dass die Attacke funktioniert, konnten die Forscher laut eigenen Angaben im Labor mit einem selbst aufgesetzten Testnetzwerk belegen.

Schritt 1: Der Angriff beginnt am verletzlichsten Punkt des Handynetzes

Holtmanns Angriff auf das LTE-Netz funktioniert in mehreren Schritten: Zunächst ist es notwendig, einen Zugang zu den Servern des sogenannten Interconnection Networks (IPX) zu bekommen. Das IPX ist zwar nur Fachleuten ein Begriff – doch es ist entscheidend dafür, dass zwei Kunden von verschiedenen Netzanbietern wie zum Beispiel O2 und der Deutschen Telekom überhaupt miteinander kommunizieren können. Zu Zeiten des "Saunaclubs" im 1G-Netz war ein solches System überschaubar – heute ist es viel zu groß, um kontrolliert oder vollständig vor Angriffen geschützt zu werden.

Um als Schaltzentrale zu fungieren, greifen IPX-Server kontinuierlich auf sensible Kundeninformation zu: Dazu gehören die individuelle Identifikationsnummer (IMSI) sowie Vertragsdetails, mit denen sich viel über einen Nutzer herausfinden lässt. Sobald Hacker wie Holtmanns Zugriff auf das IPX bekommen, gibt ihnen das eine Art Access-all-Areas-Zugang im weltweiten Handynetz. Wer einmal im IPX-Netz ist, kann die sensiblen Daten von allen Nutzern eines Netzes über das dort verwendete Diameter Protocol auf einen Schlag einsehen und umschreiben.

Schritt 2: Die Zielkoordinaten besorgen

Mit dem Zugang zum Interconnection Network besorgt sich Holtmanns das nächste Puzzlestück: Die IMSI-Nummer. Eine IMSI ist eine einzigartige Identifizierungsnummer eines Nutzers im Handynetz, quasi der Name eines Handys im Mobilfunksystem. Diese Nummer ihrer Zielperson bekommt Holtmanns ganz bequem auf ihren Rechner, indem sie sich im Interconnection Network als authentischer Anwendungsserver einer Handyfirma tarnt und einen einfachen Befehl abschickt: Einen "User Data Request". Die Sicherheitsforscherin hat mit den sogenannten SH-Servern und den Sh6-Servern zwei spezielle Servertypen entdeckt, die für diesen Angriff anfällig sind – und ihr mit den Daten antworten, die sie braucht.

Was Holtmanns auf ihren "User Data Request" zurückbekommt, sind sämtliche Kundeninformationen, die im sogenannten "Subscriber Profil" gespeichert sind: "Im Subscriber Profile steht alles über deine digitale Identität im LTE-Netz", fasst Holtmanns zusammen. Diese Daten können sich die Hacker nicht nur für eine einzelne Zielperson besorgen. Sie können sie mit einer Anfrage für alle Kunden eines Handyanbieters auf einmal abrufen.

Im Subscriber-Profil bekommt die Hackerin die MSEISDN-Nummer und IMPI, die eigentlich nur die Kunden und der Handyprovider kennen sollte, und die für ihren Angriff notwendige IMSI-Nummer. Damit hat Holtmanns quasi die Zielkoordinaten für ihren Hack und kann nun zum letzten Schritt des Angriffs übergehen.

Schritt 3: Die "digitale Identität" manipulieren und den Nutzer zum Angreifer schicken

Im Subscriber Profil ist noch eine weitere Information hinterlegt, die den Hackern den Angriff erleichtert: Der sogenannte Access Point Name (APN). Dieser legt fest, über welchen Zugangspunkt sich ein Handynutzer mit dem Internet verbindet. Mit ihrem Zugang zum Interconnection Network können Holtmanns und ihre Kollegen diese APN-Adresse einfach mit einem eigene APN-Zugangspunkt ersetzen, den sie kontrollieren. Die Folge: Das Handy verbindet sich nicht mit dem offiziellen APN des Handyanbieters, sondern mit dem falschen APN-Zugangsknoten des Angreifers. Damit sind die Angreifer am Ziel: Über ihren "Attacker-Knoten" wie ihn Holtmanns nennt, kann sie den gesamten Datenverkehr eines Handynutzers abfangen.

Doch warum kommen Holtmanns und ihre Kollegen überhaupt so leicht an die Daten des Subscriber-Profils? Kopien der Subscriber-Profils liegen auf zahlreichen Servern im Netzwerk verteilt, die sich immer wieder gegenseitig updaten. Da sie das Netz genau kennt, weiß Holtmanns inzwischen, wann sich die Server gegenseitig updaten und jubelt einem Server dann einfach ihr eigenes Update unter. “Profile update request heißt das Ding", sagt Holtmanns. Nachfrage des Reporters: “Und da muss man sich nicht authentifizieren, man muss dem Server des Handybetreibers nicht belegen, dass man auch offiziell zum Handybetreiber gehört?” “Äh, nein", antwortet Holtmanns und grinst.

Zwei Dinge machen diesen Angriff besonders gefährlich: Für den Nutzer selbst geschieht all das völlig unbemerkt. Und zweitens ist das Opfer den Angreifern dauerhaft ins Netz gegangen – denn die Adresse des falschen Zugangsknoten, den das Opfer nun ansteuert, ist dauerhaft auf der SIM-Karte seines Handys gespeichert worden. Die Daten des ursprünglichen, offiziellen APNs wurden durch den Angriff von Holtmanns überschrieben. Damit bekommen die Hacker die Daten des Nutzers, auch wenn er sich woanders aufhält und gar nicht mehr im Netzwerk mit der Falle.

Als Holtmanns Name 2017 als Rednerin im Kongressprogramm des Chaos Computer Clubs auftaucht, beginnt ihr Telefon häufiger als sonst zu klingeln. Am anderen Ende der Leitung sind Vertreter großer Mobilfunkanbieter, die wohl eine Vorahnung haben, was da auf sie zukommen könnte. Rund 40 mal telefoniert sie in den Tagen vor Weihnachten mit den Sicherheitschefs verschiedener großer Handyanbieter aus aller Welt.

Bei den Providern herrscht danach Hektik. Sie arbeiten daran, ihre Netze zu sichern. Holtmanns präsentiert den Firmen dafür gleich mehrere Möglichkeiten, um die Angriffe zu verhindern. Teilweise sind die Lösungen kostspielig, etwa wenn die Firmen mehr und sicherere Serven aufsetzen müssen – doch sie ist zuversichtlich: "In Europa sind die Netzwerkbetreiber recht fortschrittlich und ich denke bei den meisten ist es entweder in der Planung oder gemacht", schreibt Holtsmanns im Januar per Mail an Motherboard. "In der GSMA werden die entsprechenden Sicherheitsempfehlungen im Moment in das entsprechende Dokument eingearbeitet. In den USA kümmert sich die FCC darum, die arbeiten im Moment an einem Diameter-LTE Sicherheitsdokument."

Bei Motherboard: Der Vater des Mobiltelefons

Ein Problem kann Holtmanns nicht so leicht beheben: Die Zugänge zum Handynetz und den IPX-Servern, die eigentlich nur Handyanbietern vorbehalten sein sollten, werden längst auf einer Art Schwarzmarkt gehandelt und weiterverkauft – wer sich zum Interconnection-Netz Zugang verschafft und was er dort treibt, ist kaum zu kontrollieren. Nicht nur einzelne Hacker können das ausnutzen, auch kommerzielle Firmen arbeiten an Angriffen auf LTE-Netze. Sicherheitsforscher beobachten das schon lange.

Tatsächlich belegen von Wikileaks archivierte Dokumente, dass kommerzielle Entwickler von Überwachungstechnologie wie die Firma Hacking Team bereits seit 2013 an Angriffen auf das LTE-Handynetz forschen. Solche Spyware-Entwickler verkaufen ihre Produkte für über 100.000 Euro. Hacking Team gibt an, nur mit Behörden und staatlichen Stellen zusammenzuarbeiten. Aber an wen diese Firmen exportieren, ist nicht immer nachvollziehbar – interne E-Mails zeigen, dass Hacking Team in der Vergangenheit auch an repressive Regime und nicht-demokratische Staaten verkauft hat.

Über den Zugang zum IPX-Netz können Hacker nicht nur die übermittelten Daten abfangen: Sie können auch SMS mitlesen, den Standort eines Kunden in Echtzeit tracken, Telefonate abhören oder das Kundenprofil eines Kunden so manipulieren, dass er nicht mehr roamen darf oder plötzlich umsonst telefonieren kann. Diese Angriffsmöglichkeiten auf das LTE-Netz oder das Vorgängersystem SS7 haben Holtmanns und deutsche Kollegen wie Karsten Nohl und Tobias Engel bereits in den vergangenen Jahren enthüllt. Die Entwickler des Saunaclubs konnten mit solchen Attacken nicht rechnen.

Folgt Max auf Twitter