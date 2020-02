acker können die Identität eines fremden Smartphones annehmen und auf Kosten von dessen Besitzer Streamingdienste abonnieren, Produkte kaufen oder fremde Webseiten hacken, um beispielsweise Industriespionage zu betreiben. Diese Möglichkeit haben Forscher an der Ruhr-Universität Bochum aufgedeckt. Ursache kann ein Sicherheitsdefizit im Mobilfunkstandard LTE (Long Term Evolution) sein, der besser als 4G (für vierte Generation) bekannt ist. Die Lücke wird, so die IT-Experten, auch im 5G-Netz nicht behoben, das derzeit eingeführt wird und einen kaum für möglich gehaltenen Datentransfer ermöglicht.





Besitzer von Opferhandys müssen zahlen

„Ein Angreifer könnte die gebuchten Dienste nutzen, also beispielsweise Serien streamen, aber der Besitzer des Opferhandys müsste dafür bezahlen“, so Professor Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit, der die Sicherheitslücke gemeinsam mit David Rupprecht, Katharina Kohls und Professor Christina Pöpper aufdeckte, allesamt IT-Experten.





Um diesen Angriff zu starten ist ein Gerät namens Software Defined Radio (SDR) nötig. Es gaukelt dem Smartphone vor, es sei die Basisstation. Die Basisstation wiederum hält das SDR für das attackierte Smartphone. Der SDR-Besitzer kann dann seine kriminellen Aktivitäten starten. Voraussetzung ist, dass das attackierte Handy in der Nähe ist. Bei welcher minimalen Entfernung der Betrug möglich ist, lässt sich nicht genau sagen.

Sicherheitslücke lässt sich technisch beheben, aber…

Die erschreckenden Ergebnisse stellt das Bochumer Team am 25. Februar 2020 auf dem Network Distributed System Security Symposium, kurz NDSS, in San Diego, USA, vor.

Die Sicherheitslücke lasse sich nur durch eine Änderung am Hardware-Design beheben, sagen die Bochumer Experten. Sie setzen sich dafür ein, die Sicherheitslücke im 5G-Standard zu schließen. „Technisch wäre das möglich“, so Rupprecht. „Die Mobilfunkbetreiber müssten jedoch höhere Kosten in Kauf nehmen, da der zusätzliche Schutz mehr Daten erzeugt, die übermittelt werden müssten. Zusätzlich müssten alle Handys erneuert und die Basisstationen erweitert werden. Das wird nicht in naher Zukunft eintreten.“

Bereits 2018 hatte die Gruppe auf andere Sicherheitslücken in LTE aufmerksam gemacht, über die Angreifer Nutzer auf gefälschte Webseiten umleiten und ihre Passwörter abgreifen können.

via

