Forschende finden kritische Sicherheitslücken in 5G-Netzwerkkomponente

CISPA-Forscher haben kritische Sicherheitslücken in einer Netzwerkkomponente in der LTE- und 5G-Netzarchitektur entdeckt. Nach entsprechenden Updates werden die Ergebnisse auf dem USENIX Security Symposium 2024 veröffentlicht.

Das CISPA – Helmholtz-Zentrum für Informationssicherheit hat bekannt gegeben, dass in Zusammenarbeit mit SBA Research und der Universität Wien zwei weitreichende Sicherheitslücken im Mobilfunkprotokoll Voice over WiFi (VoWiFi) entdeckt wurden. Voice over Wifi ist auch als WLAN-Calling bekannt. Laut der Forschungseinrichtung gefährdeten diese Schwachstellen die Kommunikationssicherheit von Millionen Mobilfunkkund*innen weltweit. Inzwischen wurden jedoch entsprechende Updates durchgeführt, um die Probleme zu beheben.

Moderne Smartphones können Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufbauen, was besonders an Orten mit schlechter Mobilfunkqualität von Vorteil ist. WLAN-Calling, das seit 2016 angeboten wird, ist bei allen neuen Smartphones voreingestellt und wird von fast allen großen Mobilfunknetzbetreibern unterstützt. Die Untersuchung ergab jedoch, dass der Verbindungsaufbau zwischen Smartphone und Mobilfunknetz in einigen Fällen nicht sicher war.

Betroffen waren die Dienste von 13 Mobilfunkanbietern aus verschiedenen Ländern, darunter Österreich, die Slowakei, Brasilien und Russland, wodurch laut CISPA rund 140 Millionen Kund*innen gefährdet waren. Ursache war eine Schwachstelle im Evolved Packet Data Gateway (ePDG), einer wichtigen Netzwerkkomponente in der LTE- und 5G-Netzarchitektur. Bei WLAN-Calls wird ein IPsec-Tunnel zwischen dem Smartphone und dem ePDG aufgebaut, der durch kryptografische Schlüssel geschützt wird. Die Untersuchung zeigte jedoch, dass diese Schlüssel nicht zufällig und privat waren, sondern aus einem globalen Satz von zehn statischen Schlüsseln bestanden. Dies ermöglichte es, die Kommunikation zwischen Smartphones und Mobilfunknetzen mitzuhören.

Zusätzlich fanden die Forscher*innen eine weitere Schwachstelle in den Chips des taiwanesischen Herstellers MediaTek, die in vielen Android-Smartphones verbaut sind. Diese Schwachstelle ermöglichte es, die Verschlüsselung auf die schwächste Variante zu reduzieren. Messungen und Analysen zeigten, dass veraltete kryptografische Verfahren bei vielen anderen Herstellern wie Google, Apple, Samsung und Xiaomi zum Einsatz kamen.

Wie viele Nutzer tatsächlich von Angriffen betroffen waren, können die Forschenden nicht genau sagen. Die Forscher*innen informierten die weltweite Vereinigung der Mobilfunkbetreiber (GSMA) sowie die betroffenen Provider und Hersteller, die inzwischen entsprechende Updates eingespielt haben. Zudem hat das CISPA – Helmholtz-Zentrum für Informationssicherheit angekündigt, die Ergebnisse der Untersuchungen auf dem USENIX Security Symposium 2024 zu veröffentlichen, um anderen Forschenden Zugang zu den Erkenntnissen zu bieten.

Weitere Informationen finden Sie hier: CISPA.

Das könnte Sie auch interessieren

07.10.2024
Stärkung kritischer Kommunikationsinfrastrukturen durch hybrides 5G-Mesh-Netz
Das Projekt HyprMesh ist eine Kooperation der Constructor University Bremen und der Technischen Universität Chemnitz. Es entwickelt ein hybrides 5G-Mesh-Netz, das im Katastrophenfall eine Fallback-Lösung für sicherheitsrelevante Dienste ermöglichen soll....
News-Artikel lesen
Zweite Fuse5G findet in NRW statt
Mobilfunknetze spielen in unserer vernetzten Welt eine entscheidende Rolle, da sie eine nahtlose Kommunikation, den Datenaustausch und den Zugang zu einer breiten Palette von Diensten ermöglichen.
News-Artikel lesen
13.12.2022
Cell Broadcast via 5G-Broadcast erfolgreich getestet
Nach der Katastrophe im Ahrtal im vergangenen Jahr wurde die Notwendigkeit erkannt, die Warnsysteme für die Bevölkerung in Deutschland zu verbessern. Einen Ansatz bietet die Cell Broadcast-Technologie, mit welcher Warnmeldungen...
News-Artikel lesen
05.11.2020
Zur Diskussion: 5G reduziert CO2-Emissionen
Im Auftrag des Wirtschaftsverbands swisscleantech und des Mobilfunkbetreibers Swisscom hat ein Forschungsteam der Universität Zürich und der Empa die Auswirkungen von 5G auf die Treibhausgasemissionen untersucht. Das Ergebnis der Studie...
Diskussion
News-Artikel lesen
Was treibt den gesellschaftlichen Diskurs rund um 5G an
Spätestens seit Beginn der Covid-19-Pandemie ist klar, dass die Skepsis gegenüber neuen Technologien und wissenschaftlichen Erkenntnissen zu Spaltungen innerhalb der Gesellschaft führen kann. Dieses Problem betrifft aber nicht nur etwa...
News-Artikel lesen
Neue Sicherheitsanforderungen für TK-Netzbetreiber und Diensteanbieter
18.10.2019 Die Bundesnetzagentur, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben die Sicherheitsvorgaben für TK-Netzbetreiber und Diensteanbieter erweitert. Davon seien...
News-Artikel lesen
Untersuchungen zu potentiellen Gefahren für die Flugsicherheit durch 5G
In den Vereinigten Staaten von Amerika häufen sich die Meldungen, dass der neue Mobilfunkstandard 5G sich störend auf die Funkhöhenmesser von Flugzeugen auswirken würde. Aus diesem Grund nimmt sich nun...
News-Artikel lesen
05.12.2024
5GAA veröffentlicht neue Roadmap für vernetzte Fahrzeuge
Die 5G Automotive Association (5GAA) hat die dritte Ausgabe ihrer Roadmap für die vernetzte Mobilität veröffentlicht. Sie zeigt eine Zukunftsperspektive für den Verkehr von morgen auf. Die Roadmap III beleuchtet...
News-Artikel lesen
04.03.2020
HGI: Angreifer können Identität anderer Handybesitzer annehmen
Über eine Sicherheitslücke im Mobilfunkstandard LTE (4G) haben Forscherinnen und Forscher der Ruhr-Universität Bochum die Identität fremder Personen annehmen und in deren Namen kostenpflichtige Dienste buchen können, die über die...
News-Artikel lesen
EU investiert 252 Millionen Euro zur Stärkung der Digitalen Infrastruktur
Die Europäische Kommission hat bekannt gegeben, im Rahmen des CEF-Digitalprogramms über 250 Millionen Euro für die Förderung sicherer Netzwerkverbindungen in der gesamten Europäischen Union bereitzustellen. Die Förderung erfolgt im Rahmen...
News-Artikel lesen
16.01.2025
Verlängerung der Einreichungsfrist für Cybersicherheitsprojekte im Rahmen des EU-Förderprogramms „Digitales Europa“
Das Europäische Kompetenzzentrum für Cybersicherheit (ECCC) hat bekannt gegeben, dass die Einreichungsfrist im Rahmen des EU-Förderprogramms „Digitales Europa“ bis zum 27. März 2025 verlängert wurde.
News-Artikel lesen
5G.NRW-Förderprojekt KIRaPol.5G testet 5G-Überwachungssystem für den öffentlichen Raum
Ziel des Forschungsprojektes KIRaPol.5G ist es, die polizeiliche Überwachung in öffentlichen Bereichen zu unterstützen, insbesondere an Orten, an denen es zu Zwischenfällen kommen kann und die eine potentielle Gefahr für...
News-Artikel lesen