Sicherheitslücke: Lokalisieren und Abhören bei LTE und 5G möglich
Die Wissenschaftler Syed Rafiul Hussain, Mitziu Echeverria, Omar Chowdhury, Ninghui Li und Elisa Bertino der Purdue Universität und der Universität von Iowa haben ein Whitepaper veröffentlicht, in dem sie auf gravierende Sicherheitslücken in den Mobilfunkstandards 4G/LTE und 5G aufmerksam machen. Das Dokument mit dem Titel "Privacy Attacks to the 4G and 5G Cellular Paging Protocols Using Side Channel Information" legt dar, wie Angreifer mittels der ToRPEDO (TRacking via Paging mEssage DistributiOn) genannten Sicherheitslücke Smartphone-Nutzer orten und abhören können.
Das geschieht nach Aussagen der Wissenschaftler mithilfe des sogenannten Paging-Protokolls, durch das Smartphones normalerweise über eingehende Anrufe und Textnachrichten informiert werden. Hacker können dabei durch eine schnelle Folge unbemerkter Anrufe eine Paging-Nachricht auslösen, durch die der Standort des Nutzers herausgefunden werden kann. Außerdem können Informationen aus dieser Nachricht auch dazu genutzt werden, weitere Nachrichten an den Nutzer zu unterbinden oder manuell auszulösen.
Sicherheitslücke in LTE auch in 5G enthalten
Zusätzlich nutzt ToRPEDO zwei weitere teils bereits bekannte Sicherheitslücken aus. So erlaubt eine "Piercer" genannte Attacke das Herausfinden der International Mobile Subscriber Identity (IMSI), anhand derer per IMSI-Cracking Telefonate über LTE oder 5G unbemerkt mitgehört werden können. Diese als "Stingrays" bekannte Ortungs- und Abhörmethode wird auch von Vollzugsbehörden weltweit eingesetzt. Entgegen der Erwartung von Experten wurde erst kürzlich bekannt, dass diese Sicherheitslücke nicht nur im 4G-, sondern auch im 5G-Standard enthalten ist.
Die Wissenschaftler konnten eine Nutzbarkeit von Torpedo in allen US-Mobilfunknetzen nachweisen und gehen davon aus, dass das auch für nahezu alle Netze weltweit gilt. Nach eigenen Aussagen haben die Akademiker entsprechende Stellen wie die Industrievereinigung der GSM-Anbieter (GSMA) und Netzbetreiber über ihre Arbeit informiert, damit diese entsprechende Schritte einleiten können.