LTE-Sicherheitslücke: Angreifer können Abos abschließen
Forscher der Ruhruniversität Bochum haben eine neue Sicherheitslücke im Mobilfunkstandard LTE, auch 4G genannt, aufgedeckt.
Die Wissenschaftler konnten die Identität fremder Personen annehmen und in deren Namen kostenpflichtige Dienste buchen, die über die Handyrechnung bezahlt werden, teilt die Ruhruniversität mit. Zum Beispiel konnten Abonnements für Streamingdienste abgeschlossen werden.
„Ein Angreifer könnte die gebuchten Dienste nutzen, also zum Beispiel Serien streamen, aber der Besitzer des Opferhandys müsste dafür bezahlen“, erklärt Prof. Dr, Thorsten Holz vom Horst-Görtz-Instiut für IT-Sicherheit. Gemeinsam mit David Rupprecht, Dr. Katharaina Kohls und Prof. Dr, Christina Pöpper hat er die Sicherheitslücke aufgedeckt.
Alle Handys mit LTE von Sicherheitslücke betroffen
Die Schwachstelle im LTE-Netz kann auch noch anderen Folgen haben. So könnten die Angreifer mit der geklauten Identität auch Webseiten aufrufen und zum Beispiel geheime Firmendokumente online stellen. Für Strafverfolgungsbehörden und Netzbetreiber sehe es dann so aus, als wäre das Opfer der Täter.
Die neue Schwachstelle betreffe alle Geräte, die LTE verwenden, erklärt die Ruhruniversität. Damit sind nahezu alle Handys und Tablets, aber auch einige Haushaltsgeräte anfällig für einen Angriff. Um die Sicherheitslücke zu schließen, müsste es ein verändertes Hardware-Design geben. Das Bochumer Team will erreichen, dass die Sicherheitslücke im neuen Mobilfunkstandard 5G geschlossen wird. „Technisch wäre das möglich“, sagt David Rupprecht. „Die Mobilfunkbetreiber müssen jedoch höhere Kosten in Kauf nehmen, da der zusätzliche Schutz mehr Daten erzeugt, die übermittelt werden müssten. Zusätzlich müssten alle Handys erneuert und die Basisstationen erweitert werden. Das wird nicht in naher Zukunft eintreten.“
Für Kriminelle ist es allerdings auch nicht ganz einfach, die neu entdeckte Sicherheitslücke zu nutzen. Hierzu müssten sie sich in der Nähe des Opferhandys und der Basisstation befinden.
wsp