Forschende finden kritische Sicherheitslücken in 5G-Netzwerkkomponente

CISPA-Forscher haben kritische Sicherheitslücken in einer Netzwerkkomponente in der LTE- und 5G-Netzarchitektur entdeckt. Nach entsprechenden Updates werden die Ergebnisse auf dem USENIX Security Symposium 2024 veröffentlicht.

Das CISPA – Helmholtz-Zentrum für Informationssicherheit hat bekannt gegeben, dass in Zusammenarbeit mit SBA Research und der Universität Wien zwei weitreichende Sicherheitslücken im Mobilfunkprotokoll Voice over WiFi (VoWiFi) entdeckt wurden. Voice over Wifi ist auch als WLAN-Calling bekannt. Laut der Forschungseinrichtung gefährdeten diese Schwachstellen die Kommunikationssicherheit von Millionen Mobilfunkkund*innen weltweit. Inzwischen wurden jedoch entsprechende Updates durchgeführt, um die Probleme zu beheben.

Moderne Smartphones können Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufbauen, was besonders an Orten mit schlechter Mobilfunkqualität von Vorteil ist. WLAN-Calling, das seit 2016 angeboten wird, ist bei allen neuen Smartphones voreingestellt und wird von fast allen großen Mobilfunknetzbetreibern unterstützt. Die Untersuchung ergab jedoch, dass der Verbindungsaufbau zwischen Smartphone und Mobilfunknetz in einigen Fällen nicht sicher war.

Betroffen waren die Dienste von 13 Mobilfunkanbietern aus verschiedenen Ländern, darunter Österreich, die Slowakei, Brasilien und Russland, wodurch laut CISPA rund 140 Millionen Kund*innen gefährdet waren. Ursache war eine Schwachstelle im Evolved Packet Data Gateway (ePDG), einer wichtigen Netzwerkkomponente in der LTE- und 5G-Netzarchitektur. Bei WLAN-Calls wird ein IPsec-Tunnel zwischen dem Smartphone und dem ePDG aufgebaut, der durch kryptografische Schlüssel geschützt wird. Die Untersuchung zeigte jedoch, dass diese Schlüssel nicht zufällig und privat waren, sondern aus einem globalen Satz von zehn statischen Schlüsseln bestanden. Dies ermöglichte es, die Kommunikation zwischen Smartphones und Mobilfunknetzen mitzuhören.

Zusätzlich fanden die Forscher*innen eine weitere Schwachstelle in den Chips des taiwanesischen Herstellers MediaTek, die in vielen Android-Smartphones verbaut sind. Diese Schwachstelle ermöglichte es, die Verschlüsselung auf die schwächste Variante zu reduzieren. Messungen und Analysen zeigten, dass veraltete kryptografische Verfahren bei vielen anderen Herstellern wie Google, Apple, Samsung und Xiaomi zum Einsatz kamen.

Wie viele Nutzer tatsächlich von Angriffen betroffen waren, können die Forschenden nicht genau sagen. Die Forscher*innen informierten die weltweite Vereinigung der Mobilfunkbetreiber (GSMA) sowie die betroffenen Provider und Hersteller, die inzwischen entsprechende Updates eingespielt haben. Zudem hat das CISPA – Helmholtz-Zentrum für Informationssicherheit angekündigt, die Ergebnisse der Untersuchungen auf dem USENIX Security Symposium 2024 zu veröffentlichen, um anderen Forschenden Zugang zu den Erkenntnissen zu bieten.

Weitere Informationen finden Sie hier: CISPA.

Das könnte Sie auch interessieren

19.12.2023
BSI veröffentlicht Aktualisierung des IT-Grundschutz-Profils für die Absicherung von 5G-Campusnetzen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das IT-Grundschutz-Profil zur Absicherung von 5G-Campusnetzen mit dem Betrieb durch ein externes Dienstleistungsunternehmen aktualisiert und auf das IT-Grundschutz-Kompendium 2023 angepasst. Um den Betrieb sowie die...
News-Artikel lesen
EU-Kommission sieht keine erhöhte Exposition der Bevölkerung gegenüber elektromagnetischen Feldern im Zuge der Einführung von 5G
Elektromagnetische Felder (EMF) sind physikalische Felder, die „durch stationäre, sich drehende oder sich bewegende elektrisch geladene Teilchen erzeugt“ werden. Anders als es den Anschein erwecken mag, dass elektromagnetische Felder erst...
News-Artikel lesen
23.08.2023
MobileAtlas soll das Testen von Mobilfunknetzen in der EU ermöglichen
Das entwickelte Framework ermöglicht die geografische Trennung von SIM-Karte und Mobilfunkmodem. Dadurch können Tests in ganz Europa durchgeführt werden. Mobilfunknetze sind nicht nur Datenzugangsnetze zum Internet. Wegen ihrer besonderen Dienste...
News-Artikel lesen
07.10.2024
Stärkung kritischer Kommunikationsinfrastrukturen durch hybrides 5G-Mesh-Netz
Das Projekt HyprMesh ist eine Kooperation der Constructor University Bremen und der Technischen Universität Chemnitz. Es entwickelt ein hybrides 5G-Mesh-Netz, das im Katastrophenfall eine Fallback-Lösung für sicherheitsrelevante Dienste ermöglichen soll....
News-Artikel lesen
Anforderungen an den DDoS-Schutz für das Zeitalter von Cloud, 5G und IoT
Durch das Eintreten in das Zeitalter von 5G und Internet of Things hat sich auch die Gefahr durch DDoS Angriffe erhöht. Die Angriffe haben sowohl in ihrer Häufigkeit als auch...
News-Artikel lesen
22.12.2020
Sichere und vertrauenswürdige 5G-Systeme für die digitale Transformation
INSPIRE-5Gplus hat das Whitepaper „Intelligent Security Architecture for 5G and Beyond Networks“ veröffentlicht. Das Whitepaper stellt die High-Level-Architektur des gesamten INSPIRE-5Gplus-Rahmens, seine wichtigsten Funktionen und Rolle bei der Realisierung intelligenter...
News-Artikel lesen
„Mit Sicherheit“: 5G, 6G und die Zukunft des Cloud Computings
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neueste Ausgabe seines Magazins „Mit Sicherheit“ veröffentlicht. Die halbjährliche Publikation beleuchtet zentrale Themen der Cybersicherheit und gibt detaillierte Einblicke in...
News-Artikel lesen
ENISA: Bewertung der Sicherheit von 5G-Netzen
Die Europäische Agentur für Cybersecurity (ENISA) hat auf der Basis einer umfassenden technischen Analyse von 5G nun Handlungsempfehlungen für die EU-Mitgliedsstaaten veröffentlicht. In dem Bericht „ENISA threat landscape for 5G...
News-Artikel lesen
5G stellt eine Sicherheitsherausforderung für Smart-Factory-Umgebungen dar
Smart Factory Umgebungen geben der Manufacturing-Branche die Möglichkeit, ihre Geschwindigkeit, Sicherheit und Effizienz zu steigern, jedoch bergen sie auch neue Sicherheitsrisiken. Angriffe auf industrielle Steuersysteme in intelligenten Fertigungsumgebungen könnten Cyberkriminelle...
News-Artikel lesen
05.12.2024
5GAA veröffentlicht neue Roadmap für vernetzte Fahrzeuge
Die 5G Automotive Association (5GAA) hat die dritte Ausgabe ihrer Roadmap für die vernetzte Mobilität veröffentlicht. Sie zeigt eine Zukunftsperspektive für den Verkehr von morgen auf. Die Roadmap III beleuchtet...
News-Artikel lesen
Zur Diskussion: Sorgen und Vorbehalte gegenüber 5G
Der Rollout von 5G schreitet nicht nur in Deutschland, sondern auch international immer weiter voran. Unternehmen freuen sich auf die Nutzung neuer Technologien durch niedrigere Latenzen und höhere Konnektivität. Doch...
Diskussion
1
News-Artikel lesen
23.09.2020
Transparenz und Sicherheit in der 5G-Welt
ZTE Corporation, ein international führender Anbieter von Lösungen für die Telekommunikationsbranche sowie für Unternehmens- und Privatkunden im Bereich mobiles Internet, und Omdia, ein global führendes Technologieforschungsunternehmen, haben das Whitepaper „Security...
News-Artikel lesen