Voice over WiFi (oder auch WLAN Calling, Voice Boost genannt) wird in Österreich bereits von allen drei großen Mobilfunkbetreibern und einigen virtuellen Betreibern unterstützt. Im Rahmen der Forschungskooperation von SBA Research, der Universität Wien und dem CISPA Forschungszentrum in Saarbrücken wurden der VoWiFi-Kommunikationskanal, Equipment der Mobilfunkbetreiber sowie die in der Praxis vorherrschenden Verschlüsselungsparameter eingehend evaluiert und zwei weitreichende, voneinander unabhängige Sicherheitslücken entdeckt.
Weltweit haben mindestens 13 Mobilfunkbetreiber (inkl. Einem aus Österreich) und die meisten der dort eingemieteten virtuellen Mobilfunkbetreiber seit Jahren keine zufälligen Schlüssel verwendet und damit die Kommunikationssicherheit von über 140 Mio. Kund:innen gefährdet. Weiters konnten Angreifer:innen bei vielen neuen 5G-Geräten mit MediaTek-Chipset die Schlüssellänge drastisch verkürzen und damit Angriffe begünstigen. Beide Schwachstellen haben die Auswirkung, dass Angreifer mit wenig Aufwand Gespräche mithören können.
Schwachstellen bei Core-Routern und Smartphone-Chipsets
Bei anbieterseitigen Tests wurde festgestellt, dass einige Mobilfunkbetreiber dieselben privaten Schlüssel für den Schlüsselaustausch verwendeten. Nach weiterer Analyse der betroffenen Mobilfunkbetreiber konnte die Schwachstelle auf jene Betreiber eingegrenzt werden, die ZTE Equipment für ihr Core-Netz verwenden. "Insgesamt waren global über 140 Millionen Kund:innen von der Schwachstelle betroffen, u.a. in Österreich, Brasilien und Russland. Jeder, der im Besitz dieser (nicht so privaten) privaten Schlüssel war, konnte ohne Cracking, also Brechen des kryptographischen Schlüssels mittels sehr leistungsstarker Hardware, die Kommunikation zwischen Smartphone und Mobilfunkbetreiber abhören", so Gabriel Gegenhuber, Sicherheitsforscher bei SBA Research und Doktorand in der Forschungsgruppe Security and Privacy an der Universität Wien. Zugriff auf die Schlüssel haben alle beteiligten Mobilfunkbetreiber, der Hersteller und eventuell lokale Sicherheitsbehörden. "Bei der hier eingesetzten Verschlüsselung ist es entscheidend, dass die Schlüssel einerseits geheim (also privat) und andererseits völlig zufällig sind. Beides war hier nicht der Fall", erläutert Adrian Dabrowski, PostDoc am CISPA Helmholtz Zentrum für Informationssicherheit in Saarbrücken und ehem. Senior Researcher bei SBA Research.
Darüber hinaus wurde entdeckt, dass durch einen aktiven Downgrade-Angriff viele neue MediaTek-Chipsätze (einschließlich 5G) auf die schwächste Verschlüsselung oder Diffie-Hellman-Gruppe herabgestuft werden können, selbst wenn diese Gruppe laut Smartphone-Konfiguration gar nicht unterstützt wird. Ein solcher Downgrade-Angriff reduziert den kryptographischen Aufwand beim Knacken der Verschlüsselung um ein Vielfaches.
Oft veraltete Parameter im Einsatz
Auf der Benutzerseite (Client) wurden die vorhandenen Konfigurationen auf Smartphones wie z.B. Apple iPhone, Google Pixel, Samsung oder Xiaomi sowie auf der Betreiberseite (Server) durch das Simulieren von Smartphone-Verbindungsanfragen die unterstützten Parameter analysiert. "Wir haben diese Ergebnisse mit den Vorgaben in den entsprechenden ETSI/3GPP-Standards verglichen und mussten feststellen, dass bis zu 80 Prozent der Client- und Server-Parameter seit 2016 als veraltet gelten und somit nicht mehr für den Einsatz in Produktivsystemen vorgesehen sind", berichtet Gabriel Gegenhuber erstaunt und besorgt. "Somit gibt es in Bezug auf Sicherheit bei vielen Mobilfunkbetreibern großen Aufholbedarf."
Sicherheitslücken & Sicherheitsforschung
"Unabhängige Forschung im Bereich kritischer Infrastruktur ist für eine sichere digitale Gesellschaft unabdingbar. Mit ihr werden genau derartige Schwachstellen gefunden und in weiterer Folge in professioneller Zusammenarbeit mit den Herstellern im Rahmen eines Responsible Disclosures geschlossen", hält Adrian Dabrowski fest.
Im Rahmen dieses Responsible Disclosure Prozesses wurden der weltweite Mobilfunkverband GSMA sowie die betroffenen Provider und Unternehmen informiert und hatten die Möglichkeit, Updates zu entwickeln, bevor die Ergebnisse im Rahmen der USENIX Security Konferenz im August der Fachwelt vorgestellt werden. Updates für Android stehen seit Mai bereit. Updates für ZTE Mobilfunknetze wurden von den meisten betroffenen Mobilfunkbetreibern eingespielt. In Österreich wurde der Fix von ZTE von allen betroffenen Netzen am schnellsten eingespielt.
Hintergrund: Wie funktioniert Voice-over-WiFi (VoWiFi)?
Neben dem traditionellen Verbindungskanal über einen Mobilfunkmast (Radio Access Network, RAN) gibt es bei 4G und 5G auch die Möglichkeit, Gespräche und SMS via WLAN zu führen. Bei allen modernen Smartphones ist dies standardmäßig die bevorzugte Betriebsart und erweitert den Gesprächsradius in Bereichen mit schlechtem Mobilfunkempfang wie z.B. in Stahlbetonbauten oder Kellern.
Da die Gesprächsdaten über WLAN nicht durch die 4G- bzw. 5G-Verschlüsselung des RAN geschützt sind, verwendet der Mobilfunkbetreiber IPsec-Tunnel (Internet Protocol Security) mit dem IKE-Protokoll (Internet Key Exchange). Beide Protokolle existieren in verschiedenen Versionen seit 1998 und stellen effektiv einen zweiten Zugangsweg zum Kernnetz des Mobilfunkbetreibers dar, wie in der Abbildung dargestellt.
Die hier gefundenen Sicherheitslücken sind nicht Fehler des Protokolls, sondern Implementierungsfehler der jeweiligen Hersteller.
Schwachstellen:
CVD-2024-0089 - GSMA Mobile Security Research Acknowledgements
CVE-2024-20069 - MediaTek June 2024 Product Security Bulletin
CVE-2024-22064 - ZTE Configuration Error Vulnerability in ZTE ZXUN-ePDG
Paper Preprint:
Diffie-Hellman Picture Show: Key Exchange Stories from Commercial VoWiFi Deployments
