Kritische Sicherheitslücken in Voice over WiFi aufgedeckt

CISPA-Forscher Adrian Dabrowski hat gemeinsam mit Kollegen von SBA Research und der Universität Wien zwei weitreichende Sicherheitslücken im Mobilfunkprotokoll Voice over WiFi (VoWiFi), auch WLAN-Calling genannt, aufgedeckt. Durch diese Schwachstellen war die Kommunikationssicherheit von Millionen Mobilfunk-Kunden weltweit gefährdet. Entsprechende Updates zum Beheben der Probleme sind inzwischen durchgeführt worden

Moderne Smartphones können Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufbauen, um so auch an Orten mit schlechter Mobilfunkqualität wie etwa Tunneln, Kellern oder auf Bahnfahrten Erreichbarkeit zu garantieren. Das sogenannte WLAN-Calling, das es bereits seit 2016 gibt, bieten mittlerweile fast alle großen Mobilfunknetzbetreiber an und ist bei allen neuen Smartphones voreingestellt. „Der Dienst ist an sich sehr praktisch. Allerdings haben wir bei einer Untersuchung festgestellt, dass der Verbindungsaufbau zwischen Smartphone und Mobilfunknetzen in einigen Fällen nicht sicher erfolgt“, erklärt Adrian Dabrowski.

Schwachstellen auf Seiten der Mobilfunkanbieter

Betroffen waren die Dienste von 13 (der insgesamt 275 untersuchten) Mobilfunkanbieter, unter anderem aus Österreich, der Slowakei, Brasilien und Russland und resultierend aus dieser Schwachstelle alleine rund 140 Millionen Kund:innen, deren Kommunikationssicherheit gefährdet war. „Schuld ist eine wichtige Netzwerkkomponente in der LTE- und 5G-Netzarchitektur: Das sogenannte Evolved Packet Data Gateway (ePDG)“, erklärt Dabrowski. Bei WLAN-Calls muss sich ein Smartphone im Kernnetz des Mobilfunkers anmelden. Damit das sicher passieren kann, werden zwischen dem Gerät und den ePDG, das der internetseitige Zugangspunkt zum Mobilfunknetz ist, sogenannte IPsec-Tunnels aufgebaut. Es handelt sich bei IPSec-Tunnels um eine Art VPN, also ein virtuelles privates Netzwerk, das von außen nicht eingesehen werden kann.

IPsec-Tunnels werden in mehreren Schritten aufgebaut. Die Kommunikationssicherheit wird vor allem durch den Austausch von kryptografischen Schlüsseln nach dem sogenannten Internet Key Exchange Protokoll (IKE) garantiert. „Das sind an sich uralte Verfahren und eigentlich sicher. Außer man macht das mit den Schlüsseln falsch“, erklärt Dabrowski. Denn die müssen privat, also geheim, und zufällig sein. Beides war laut dem Forscher bei den Betreibern nicht der Fall. Zur Überraschung der Forschenden verwendeten die 13 Betreiber statt zufälliger Schlüssel denselben globalen Satz von zehn statischen privaten Schlüsseln. „Jeder, der im Besitz dieser nicht wirklich privaten „privaten Schlüssel“ war, konnte ohne Probleme die Kommunikation zwischen den Smartphones und den Mobilfunkern mithören“, erklärt Gabriel Gegenhuber, Sicherheitsforscher bei SBA Research und in der Forschungsgruppe Security and Privacy der Universität Wien. „Zugriff auf die Schlüssel hat jeder der betroffenen Mobilfunker, der Hersteller, und eventuell die Sicherheitsbehörden jedes dieser Länder.“ Betroffen waren die Netze des chinesischen Anbieters ZTE.

Schwachstellen in Smartphone-Chips und bei der Konfiguration auf Smartphones

Damit nicht genug fanden die Forschenden zudem heraus, dass bei vielen neuen Chips (inklusive 5G) des taiwanesischen Herstellers MediaTek, die in einigen Android-Smartphones von Herstellern wie Xiaomi, Oppo, Realme und Vivo stecken, eine weitere Schwachstelle sitzt. „Dieser Chip arbeitet mit der SIM-Karte zusammen um Benutzer bei VoWiFi im Mobilfunknetz anzumelden. Wir haben entdeckt, dass es mit gezielten Attacken möglich ist, die Verschlüsselung auf Seite der Smartphones auf die schwächste Variante zu reduzieren“, sagt Dabrowski. Dass im Bereich der Mobilfunksicherheit noch mehr im Argen ist, zeigten auch ihre Messungen und Analysen der Konfigurationen auf Client- und Serverseite vieler anderer Hersteller, darunter Google, Apple, Samsung und Xiaomi. In bis zu 80 Prozent der Fälle, in denen wie einen Verbindungsaufbau simuliert haben, haben wir festgestellt, dass veraltete kryptografische Verfahren zum Einsatz kommen, die nicht mehr dem Standard entsprechen“, sagt Dabrowski.

Schaden ist unklar, Updates sind eingespielt

Wie viele Nutzer weltweit tatsächlich von Angriffen betroffen waren oder durch die Schwachstelle auf Seiten der Mobilfunker abgehört wurden, können die Forschenden nicht sagen. Sie haben allerdings die weltweite Industriellenvereinigung der Mobilfunker (GSMA) sowie die betreffenden Provider und Firmen informiert und Gelegenheit zur Entwicklung von Updates gegeben. Diese wurden inzwischen auch durchgeführt. Erst nachdem diese vertrauensvolle Offenlegung (responsible disclosure) passiert ist, veröffentlichen sie ihre Arbeit jetzt auch auf dem USENIX Security Symposium 2024 und stellen damit ihre Erkenntnisse auch anderen Forschenden zur Verfügung.

Diffie Hellman Picture Show: Key Exchange Stories from Commercial VoWiFi Deployments (cispa.de)