Alle Handys betroffen

Sicherheitslücke im Mobilfunkstandard LTE entdeckt

(Bild: stock.adobe.com)

Sicherheitslücke im Mobilfunkstandandard LTE: IT-Experten der Ruhr-Universität im deutschen Bochum haben eine Schwachstelle im 4G-Standard entdeckt, über die Angreifer nicht nur beobachten können, wer welche Website besucht, sondern Nutzer auch auf gefälschte Seiten umleiten können. Schützen kann man sich davor derzeit nur teilweise.

Betroffen sind den Experten des Horst-Görtz-Instituts zufolge alle Geräte, die LTE verwenden - also so gut wie alle Smartphones und Tablets sowie auch einige vernetzte Haushaltsgegenstände. Schließen lassen sich die gefundenen Lücken nicht; sie sind sogar noch im kommenden Mobilfunkstandard 5G enthalten, der derzeit zertifiziert wird. Das Problem könne jedoch von anderen Sicherheitsmechanismen in Browsern oder Apps eingedämmt werden, so die Uni in einer Mitteilung.

(Bild: stock.adobe.com)

Datenstrom umleitbar
Nutzdaten, die über LTE übertragen werden, werden demnach zwar verschlüsselt, aber nicht auf ihre Integrität überprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, erklärt David Rupprecht von der Uni. Auf dieser Website könne der Angreifer dann beliebige Aktionen durchführen, zum Beispiel eingegebene Passwörter abgreifen.

„Websites oder Apps, die das Sicherheitsprotokoll HTTPS in der richtigen Konfiguration verwenden, bieten jedoch einen zuverlässigen Schutz gegen eine Umleitung“, erklärt Rupprecht. Sie würden eine Warnung ausgeben, wenn ein Nutzer auf eine falsche Seite umgeleitet werden soll. Nicht verhindern lässt sich jedoch, dass ein Angreifer gewisse Aktivitäten auf dem Smartphone überwacht, etwa erfährt, wer der Nutzer ist und welche Websites er aufruft.

(Bild: dpa/Carsten Rehder)

Schutz für Netzbetreiber offenbar zu teuer
Für den Integritätsschutz müssten an alle Nutzdaten zusätzliche vier Byte angehängt werden. Rupprechts Kollege Thorsten Holz erklärt, warum das bislang nicht passiert ist: „Die Datenübertragung ist für die Netzbetreiber teuer, und der Integritätsschutz wurde für verzichtbar gehalten.“ Die Bochumer IT-Sicherheitsexperten setzen sich aktuell dafür ein, dass die Sicherheitslücke im neuen Mobilfunkstandard prinzipiell geschlossen wird.