Sicherheitsrisiko – Verschlüsselung bei Voice-over WiFi mangelhaft

Sicherheitsrisiko – Verschlüsselung bei Voice-over WiFi mangelhaft

Wer mit dem Handy telefoniert, kann Gespräche nicht nur über das Mobilfunknetz, sondern auch über WLAN führen. Sogenanntes WiFi-Calling läuft über das öffentliche Internet ab, wodurch eine gute Verschlüsselung enorm wichtig ist. Österreichische Forscher schlagen jetzt jedoch Alarm – denn das Sicherheitsniveau ist bei VoWiFi häufig viel zu niedrig.

Weshalb ist eine unzureichende DH-Verschlüsselung so gefährlich?

Um eine sichere Kommunikation über ein Übertragungsmedium, das potenziell unsicher ist – in diesem Fall das öffentliche Internet – zu gewährleisten, wird der sogenannte Diffie-Hellman-Schlüsselaustausch eingesetzt. Hierbei handelt es sich um ein Verfahren, das den beiden Kommunikationspartnern ermöglicht, sich auf einen gemeinsamen Sitzungsschlüssel zu vereinbaren. Dieser Schlüssel wird dann für die Verschlüsselung und Entschlüsselung der Daten verwendet. Das DH-Protokoll ist demnach essenziell, um sowohl vor unerwünschten Mithörern als auch vor Malware beim WiFi-Calling zu schützen. Gelingt es Angreifern, die Verschlüsselung zu knacken, können diese etwa Gespräche belauschen und sogar verfälschen. Überdies besteht die Gefahr, Daten einzuschleusen, wodurch Schadprogramme auf das Endgerät eingespielt werden können. Ein niedriges Sicherheitsniveau bei Telefonaten über WLAN stellt demnach nicht nur eine Bedrohung für die Privatsphäre der Nutzer dar, sondern ist ein enormes Sicherheitsrisiko. Je länger der verwendete Schlüssel ist, desto mehr Sicherheit bietet er. Im Umkehrschluss bedeutet dies, dass DH-Schlüssel, die kurz sind und darüber hinaus lange gültig bleiben, von Angreifern leichter geknackt werden können. Das geringste Sicherheitsniveau bieten DH1, DH2 und DH5.

Was haben die Forscher herausgefunden?

Die Forschergruppe um Adrian Dabrowski vom CIPSA Helmholtz-Zentrum für Informationstechnik und Gabriel Gegenhuber von der Universität Wien haben jetzt besorgniserregendes aufgedeckt: von vielen Netzbetreibern werden immer noch veraltete und unsichere Schlüsselaustauschverfahren wie DH1, DH2 oder DH5 verwendet (insgesamt 93 Prozent). Besonders negativ aufgefallen ist dabei der chinesische Telekommunikationsausrüster ZTE. Für sein Voice-over WiFi genutztes Gateway hat er nur zehn verschiedene DH-Schlüssel einprogrammiert. Das Unternehmen selbst spricht von einem Fehler, für welchen es mittlerweile ein Update gibt. Unter den verwendeten DH-Schlüsseln sind auch solche, die nur eine geringe Länge aufweisen und damit keinen ausreichenden Schutz bei Voice-over WiFi bieten. Bei VoWiFi prüfen Mobilfunk-Gateway und das Endgerät im ersten Schritt, ob der Kunde über eine gültige Rufnummer sowie SIM-Karte verfügt. Außerdem wird geprüft, welche asymmetrischen Schlüsselpaare mit welchen Parametern verwendet werden. Um den bestmöglichen Schutz während des Telefonats zu gewährleisten, wird dann in der Theorie der längste gemeinsame Nenner gewählt. In der Realität ist dies jedoch nicht so, wie die Forscher herausfanden. Bei insgesamt 13 ZTE-Mobilfunknetzen wurde derselbe kryptografische Schlüssel verwendet. Allein diese 13 Netze werden von 140 Millionen Kunden genutzt. Diesen wird bei WiFi-Calling durch die mangelnde Sicherheit nicht ausreichend Schutz geboten. Da auf der zweiten Verschlüsselungsebene keinerlei Integritätsprüfung mehr stattfindet, ist dieser Umstand gravierend. Denn diese Schwachstelle in der Verschlüsselung sorgt dafür, dass sich Angreifer beim nächsten Austausch der symmetrischen Verschlüsselung dazwischen klemmen können, wenn sie die DH-Verschlüsselung erst einmal geknackt haben.

Wie könnte die Sicherheit bei VoWiFi verbessert werden?

Die Forscher sehen dringenden Handlungsbedarf, um das Sicherheitsniveau von VoWiFi in Zukunft zu verbessern. Der erste Schritt sei ein kostengünstiges, verbreitetes Verfahren, das den Netzbetreibern ermöglicht, die Konfigurationsparameter für VoWiFi an Endgeräten auszuspielen und zu aktualisieren. Denn bislang ist dies sehr zeitaufwendig, wodurch der Anreiz dementsprechend gering sei, veraltete Verfahren zu ersetzen. Ferner sind die Forscher der Auffassung, dass auch die Netz-Gateways selbst dafür sorgen sollten, dass Mindeststandards eingehalten werden.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Microsoft Support – LKA warnt vor neuer Vorgehensweise der Betrüger

Microsoft Support

LKA warnt vor neuer Vorgehensweise der Betrüger

Dass Kriminelle sich als Mitarbeiter von Microsoft ausgeben, um angeblich Hilfe zu leisten, ist bereits seit vielen Jahren bekannt. Jetzt warnt das LKA Niedersachsen vor einer etwas anderen, besonders perfiden Vorgehensweise beim sogenannten „Tech Support Scam“. […]

Schadensersatzklage – Android-Nutzer können ihr Klagerecht verkaufen

Schadensersatzklage

Android-Nutzer können ihr Klagerecht verkaufen

Nutzer von Android-Handys können ihr Klagerecht gegen Google für 40 Euro verkaufen. Die Kampagne Privacy Reclaim plant eine Schadensersatzklage gegen den Tech-Riesen. Ob sich der Verkauf des Klagerechts für die Android-User wirklich lohnt, bleibt allerdings fraglich. […]

Telegram ändert Nutzungsbedingungen – künftige Kooperation mit Ermittlern

Telegram ändert Nutzungsbedingungen

Künftige Kooperation mit Ermittlern

Lange Zeit weigerte sich der Messenger-Dienst Telegram, Nutzerdaten an zuständige Ermittlungsbehörden herauszugeben. Nach der Festnahme des CEOs in Frankreich wurden jetzt die Nutzungsbedingungen geändert und die Bereitschaft zur Kooperation mit Behörden angekündigt. […]

Internetstörung und 500 € Inkassoforderung – Verbraucherzentrale deckt kuriosen Fall auf

Internetstörung

o2 entstört nicht und verlangt 500 € Entschädigung

Ein niedersächsischer Verbraucher kämpfte monatelang mit Internetstörungen bei o2, erhielt jedoch widersprüchliche Antworten und am Ende eine Inkassoforderung über 500 Euro. Die Verbraucherzentrale Niedersachsen konnte den Fall klären und die Forderung zurückziehen. Erfahren Sie, wie Betroffene ihre Rechte bei Internetproblemen durchsetzen können. […]