Mobile 5G-Hochgeschwindigkeits-Datennetze sind möglicherweise noch in Arbeit, wurden jedoch bereits in einigen US-Städten eingeführt. Während die Forscher den 5G-Standard durchkämmen, um zu prüfen, ob er nicht nur eine blitzschnelle, sondern auch eine verbesserte Sicherheit bietet, müssen sie feststellen, dass er noch etwas verstärkt werden muss.
Auf der Black Hat-Sicherheitskonferenz in Las Vegas in der kommenden Woche wird eine Gruppe von Sicherheitsforschern für die Netzwerkkommunikation Erkenntnisse zu Fehlern im 5G-Schutz vorlegen, die die als Stachelrochen bezeichneten Überwachungsgeräte vereiteln sollen. Wird auch "IMSI-Catcher" genannt, nachdem die internationale Mobilfunkteilnehmer-Identifikationsnummer, die an jedem Mobiltelefon angebracht ist, Stachelrochen als legitime Zelltürme tarnt. Sobald ein Gerät dazu gebracht wurde, eine Verbindung herzustellen, verwendet ein Stachelrochen die IMSI oder andere Kennungen, um das Gerät zu verfolgen und sogar Anrufe abzuhören.
"Eine gute Sache in 5G ist, dass es entwickelt wurde, um die Probleme zu beheben, die gefälschte Angriffe auf Basisstationen ermöglichen", sagt Ravishankar Borgaonkar, ein Forscher bei der norwegischen Technologieanalysefirma SINTEF Digital. "Die Idee ist, dass es in 5G nicht mehr möglich ist, IMSI- und IMEI-Geräteidentifikationsnummern zu stehlen, um Angriffe zu identifizieren und zu verfolgen. Wir haben jedoch festgestellt, dass 5G nicht den vollständigen Schutz gegen diese gefälschten Basisstationsangriffe bietet."
Im Klaren
Eine der Hauptverbesserungen des 5G-Netzwerks zur Verhinderung von Stachelrochen ist ein umfassenderes Schema zur Verschlüsselung von Gerätedaten, damit diese nicht in einem leicht lesbaren Klartextformat herumfliegen. Die Forscher fanden jedoch genug Fehler in diesem Setup, um ein Paar 5G-Stachelrochenangriffe durchzuschleichen.
Wenn sich ein Gerät bei einem neuen Mobilfunkmast "registriert", um Konnektivität zu erhalten, überträgt es bestimmte Identifikationsdaten über sich. Wie beim aktuellen 4G-Standard verschlüsselt 5G diese Daten nicht. Als Ergebnis stellten die Forscher fest, dass sie diese Informationen mit einem Stachelrochen sammeln und möglicherweise zur Identifizierung und Verfolgung von Geräten in einem bestimmten Bereich verwenden konnten.
Lily Hay Newman befasst sich mit Informationssicherheit, digitalem Datenschutz und Hacking für WIRED.
Die Forscher fanden heraus, dass sie diese unverschlüsselten Daten verwenden könnten, um beispielsweise festzustellen, welche Geräte Smartphones, Tablets, Autos, Verkaufsautomaten, Sensoren usw. sind. Sie können den Hersteller eines Geräts, die darin enthaltenen Hardwarekomponenten, sein spezifisches Modell und Betriebssystem und sogar die spezifische Betriebssystemversion eines iOS-Geräts identifizieren. Diese Informationen könnten es Angreifern ermöglichen, Geräte zu identifizieren und zu lokalisieren, insbesondere in Situationen, in denen sie bereits ein Ziel im Auge haben oder nach einem weniger verbreiteten Modell suchen.
Dieser Grad der Datenfreigabe ist problematisch, aber nicht unbedingt dringend, da allgemein genug, dass nur einige Geräte spezifisch identifizierbar wären. Fünfzehn CCTV-Kameras in einem Gebiet oder neun iPhone 8s wären wahrscheinlich schwer zu unterscheiden. Die Forscher fanden jedoch auch ein zweites Problem, das das Problem verschärft.
Es stellt sich heraus, dass die gleiche Belichtung, die Details über ein Gerät preisgibt, auch die Möglichkeit für einen Mann in der Mitte wie einen Stachelrochen bietet, diese Daten zu manipulieren. Die Telekommunikationsbranche unterteilt die Gerätetypen in Kategorien von 1 bis 12, je nachdem, wie hoch entwickelt und komplex sie sind. So etwas wie ein Smartphone ist eine 12, während vereinfachte Internet-of-Things-Geräte eine 1 oder 2 sein können. Ein Zweck dieser Kategorisierung besteht darin, zu signalisieren, mit welchem Datennetzwerk ein Gerät verbunden werden soll. Komplexere Geräte der höheren Kategorie suchen nach dem 5G- oder 4G-Netzwerk, Geräte der niedrigeren Kategorie akzeptieren jedoch nur 2G- oder 3G-Verbindungen, da sie keine höheren Geschwindigkeiten benötigen.
Die Forscher stellten fest, dass sie mit ihrem ersten Stingray-Angriff die angegebene Kategorienummer eines Geräts während des Verbindungsprozesses ändern und es auf ein älteres Netzwerk herunterstufen konnten. Zu diesem Zeitpunkt würden ältere Stingray-Angriffe angewendet, und ein Hacker könnte die Kommunikationsüberwachung oder eine spezifischere Standortverfolgung vorantreiben.
"Für den Angriff schließen Sie beispielsweise ein iPhone als einfaches IoT-Gerät an", sagt Altaf Shaik, Forscher an der Technischen Universität Berlin. "Sie stufen den Service herunter und verringern die Geschwindigkeit. An diesem Punkt wird ein klassischer IMSI-Catcher wieder funktionieren. Dies sollte nicht passieren."
Die Fähigkeit, Kategoriedaten zu ändern, ist eigentlich kein Fehler in der 5G-Spezifikation selbst, sondern ein Implementierungsproblem, das von den Betreibern aufrechterhalten wird. Wenn das System so eingerichtet wäre, dass die Sicherheitsmaßnahmen und die Datenverschlüsselung zu einem früheren Zeitpunkt des Verbindungsprozesses gestartet werden, wäre der Angriff fehlgeschlagen. Die Betreiber hinterlassen diese Daten jedoch meist im klaren und manipulationsgefährdeten Bereich. Von den 30 Fluggesellschaften, die die Forscher in Europa, Asien und Nordamerika evaluierten, boten 21 Verbindungen an, die für Herabstufungsangriffe anfällig waren. Nur neun haben sich dafür entschieden, ihre Systeme für den Start von Sicherheitsmaßnahmen zu einem früheren Zeitpunkt im Verbindungsprozess zu bauen.
Die Forscher stellten sogar fest, dass sie mit einem ähnlichen Angriff Geräte daran hindern könnten, in einen "Stromsparmodus" zu wechseln, der normalerweise durch eine Netzwerknachricht ausgelöst wird. Sobald ein Gerät über eine stabile Datenverbindung verfügt, wartet es häufig auf eine Nachricht aus seinem Netzwerk, dass es die Suche nach Mobilfunkverbindungen unterbrechen und versuchen kann, die Verbindung wiederherzustellen. Dies ist mit der Zeit ein energiehungriges Unterfangen. Die Forscher stellten jedoch fest, dass sie die ungeschützten Geräteinformationen in 5G manipulieren können, um diese Meldungen zu unterdrücken und den Akku eines Geräts fünfmal schneller zu entladen als im Energiesparmodus - ein potenzielles Sicherheitsproblem für eingebettete Geräte wie Sensoren oder Controller.
Bleistifte hoch
Die Forscher haben die Probleme der GSMA (Telecom Standards Body) mitgeteilt und hoffen, gemeinsam mit Carriern 5G-Implementierungen zu fördern, die Sicherheit und Datenschutz so früh wie möglich in der Interaktion auf den Verbindungsprozess zwischen Mobilfunkmasten anwenden.
"Die GSMA ist sich dieser Erkenntnisse bewusst und arbeitet mit der breiteren Community und dem zuständigen Standardisierungsgremium (3GPP) zusammen, um die Spezifikationen zu überarbeiten", sagte Jon France, Leiter der Sicherheitsabteilung der GSMA gegenüber WIRED. "Durch die Überarbeitung wird diese Art von Angriff verhindert, da die Verschlüsselung eingerichtet werden muss, bevor die Informationen gesendet werden."
Frühere Forschungen haben andere 5G-Protokollfehler gefunden, die ebenfalls für einen Stachelrochenangriff ausgenutzt werden konnten, aber inzwischen behoben wurden. Die Hoffnung ist, dass dies auch so sein wird.
"Die GSMA hat eingeräumt, dass sie Maßnahmen ergreifen müssen", sagt Borgaonkar von SINTEF Digital. "Wir waren uns nicht sicher, wie sich 5G ändern würde, aber jetzt wissen wir, dass wir im Grunde immer noch einen IMSI-Catcher für 5G bauen und ein Ziel bestimmen können. Die Diskussionen laufen derzeit, also werden sie hoffentlich den Standard ändern."
