Forschende finden kritische Sicherheitslücken in 5G-Netzwerkkomponente

CISPA-Forscher haben kritische Sicherheitslücken in einer Netzwerkkomponente in der LTE- und 5G-Netzarchitektur entdeckt. Nach entsprechenden Updates werden die Ergebnisse auf dem USENIX Security Symposium 2024 veröffentlicht.

Das CISPA – Helmholtz-Zentrum für Informationssicherheit hat bekannt gegeben, dass in Zusammenarbeit mit SBA Research und der Universität Wien zwei weitreichende Sicherheitslücken im Mobilfunkprotokoll Voice over WiFi (VoWiFi) entdeckt wurden. Voice over Wifi ist auch als WLAN-Calling bekannt. Laut der Forschungseinrichtung gefährdeten diese Schwachstellen die Kommunikationssicherheit von Millionen Mobilfunkkund*innen weltweit. Inzwischen wurden jedoch entsprechende Updates durchgeführt, um die Probleme zu beheben.

Moderne Smartphones können Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufbauen, was besonders an Orten mit schlechter Mobilfunkqualität von Vorteil ist. WLAN-Calling, das seit 2016 angeboten wird, ist bei allen neuen Smartphones voreingestellt und wird von fast allen großen Mobilfunknetzbetreibern unterstützt. Die Untersuchung ergab jedoch, dass der Verbindungsaufbau zwischen Smartphone und Mobilfunknetz in einigen Fällen nicht sicher war.

Betroffen waren die Dienste von 13 Mobilfunkanbietern aus verschiedenen Ländern, darunter Österreich, die Slowakei, Brasilien und Russland, wodurch laut CISPA rund 140 Millionen Kund*innen gefährdet waren. Ursache war eine Schwachstelle im Evolved Packet Data Gateway (ePDG), einer wichtigen Netzwerkkomponente in der LTE- und 5G-Netzarchitektur. Bei WLAN-Calls wird ein IPsec-Tunnel zwischen dem Smartphone und dem ePDG aufgebaut, der durch kryptografische Schlüssel geschützt wird. Die Untersuchung zeigte jedoch, dass diese Schlüssel nicht zufällig und privat waren, sondern aus einem globalen Satz von zehn statischen Schlüsseln bestanden. Dies ermöglichte es, die Kommunikation zwischen Smartphones und Mobilfunknetzen mitzuhören.

Zusätzlich fanden die Forscher*innen eine weitere Schwachstelle in den Chips des taiwanesischen Herstellers MediaTek, die in vielen Android-Smartphones verbaut sind. Diese Schwachstelle ermöglichte es, die Verschlüsselung auf die schwächste Variante zu reduzieren. Messungen und Analysen zeigten, dass veraltete kryptografische Verfahren bei vielen anderen Herstellern wie Google, Apple, Samsung und Xiaomi zum Einsatz kamen.

Wie viele Nutzer tatsächlich von Angriffen betroffen waren, können die Forschenden nicht genau sagen. Die Forscher*innen informierten die weltweite Vereinigung der Mobilfunkbetreiber (GSMA) sowie die betroffenen Provider und Hersteller, die inzwischen entsprechende Updates eingespielt haben. Zudem hat das CISPA – Helmholtz-Zentrum für Informationssicherheit angekündigt, die Ergebnisse der Untersuchungen auf dem USENIX Security Symposium 2024 zu veröffentlichen, um anderen Forschenden Zugang zu den Erkenntnissen zu bieten.

Weitere Informationen finden Sie hier: CISPA.

Das könnte Sie auch interessieren

BMI schließt Verträge mit Telekommunikationsunternehmen zum Schutz kritischer Komponenten
Öffentliche 5G-Mobilfunknetze sind ein elementarer Bestandteil der kritischen Infrastruktur der Bundesrepublik Deutschland und von entscheidender Bedeutung für Wirtschaft und Gesellschaft, insbesondere für die Funktionsfähigkeit von Sektoren wie Energie, Verkehr, Gesundheit...
News-Artikel lesen
Unternehmen halten 5G-Ausbau für bedeutend
Die Industrie- und Handelskammer (IHK) Siegen hat Ergebnisse ihrer Blitzumfrage zum 5G-Ausbau, an der 702 Unternehmen aus den Kreisen Siegen-Wittgenstein und Olpe teilgenommen haben, veröffentlicht. 76 Prozent der befragten Unternehmen finden...
News-Artikel lesen
26.09.2023
TÜVIT und Exceeding Solutions starten gemeinsames 5G-Forschungsprojekt
Die 5G-Technologie gewinnt zunehmend an Bedeutung im Alltag. Auch in kritischen Infrastrukturen (KRITIS) wird die Technologie zunehmend eingesetzt. Das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) haben...
News-Artikel lesen
14.05.2024
O2 Telefónica modernisiert sein Mobilfunknetz mit Cloud-Lösungen
Der Telekommunikationsanbieter O2 Telefónica hat in Zusammenarbeit mit Nokia und AWS sein neues Cloud-basiertes 5G-Kernnetz eingeführt. Dieses 5G-Cloud-Core-Netz ist so konzipiert, dass der gesamte Mobilfunkverkehr in der Cloud abgewickelt wird....
News-Artikel lesen
BSI startet zweiten Förderaufruf für das Förderprogramm „Cyber-Sicherheit und digitale Souveränität in den Kommunikationstechnologien 5G/6G“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startete im Juni 2022 das Förderprogramm „Cyber-Sicherheit und digitale Souveränität in den Kommunikationstechnologien 5G/6G“. Nun erfolgt der zweite Call nach vielversprechenden Projektideen....
News-Artikel lesen
14.06.2022
BSI bietet Förderung von Forschungs- und Entwicklungsprojekten im Bereich Cyber-Sicherheit für 5G/6G-Kommunikations­technologien an
Das Bundesamt für Sicherheit in der Informationstechnik startet das Förderprogramm „Cyber-Sicherheit und digitale Souveränität in den Kommunikationstechnologien 5G/6G“. Das Förderprogramm soll die Innovationskraft von Unternehmen stärken, die digitale Souveränität Deutschlands...
News-Artikel lesen
05.11.2020
Zur Diskussion: 5G reduziert CO2-Emissionen
Im Auftrag des Wirtschaftsverbands swisscleantech und des Mobilfunkbetreibers Swisscom hat ein Forschungsteam der Universität Zürich und der Empa die Auswirkungen von 5G auf die Treibhausgasemissionen untersucht. Das Ergebnis der Studie...
Diskussion
News-Artikel lesen
IT-Grundschutz zur Absicherung von 5G-Campusnetzen
Das Bundesamt für Sicherheit in der Informationstechnik möchte mit dem IT-Grundschutz ein Werkzeug für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) beiten. Die zugehörigen BSI-Standards 200-1 bis 200-3 beschreiben ein...
News-Artikel lesen
06.09.2023
Universität Duisburg-Essen forscht an widerstandsfähiger 5G-Infrastruktur für sichere Teleoperation in der Logistik
Angesichts des Fachkräftemangels und des hohen Kostendrucks in der Logistik wächst das Interesse an der Fernsteuerung von Fahrzeugen und Maschinen. Eine mögliche Lösung für mehr Sicherheit auf Firmengeländen soll die...
News-Artikel lesen
Untersuchungen zu potentiellen Gefahren für die Flugsicherheit durch 5G
In den Vereinigten Staaten von Amerika häufen sich die Meldungen, dass der neue Mobilfunkstandard 5G sich störend auf die Funkhöhenmesser von Flugzeugen auswirken würde. Aus diesem Grund nimmt sich nun...
News-Artikel lesen
07.10.2024
Stärkung kritischer Kommunikationsinfrastrukturen durch hybrides 5G-Mesh-Netz
Das Projekt HyprMesh ist eine Kooperation der Constructor University Bremen und der Technischen Universität Chemnitz. Es entwickelt ein hybrides 5G-Mesh-Netz, das im Katastrophenfall eine Fallback-Lösung für sicherheitsrelevante Dienste ermöglichen soll....
News-Artikel lesen
Mehr Sicherheit für Verkehrsteilnehmer durch 5G
Das Projekt „5G-trAAffic“ hat im Rahmen des 5G-Innovationswettbewerbs des Bundesministeriums für Verkehr und digitale Infrastruktur eine Umsetzungsförderung in Höhe von 2,6 Millionen Euro zugesichert bekommen. Das im September 2021 startende...
News-Artikel lesen