Zwei Sicherheitsforscher haben Schwachstellen im Mobilfunknetz entdeckt, durch die potenziell Millionen von Handynutzern weltweit angreifbar sind. Die Sicherheitslücken ermöglichen es Hackern, Nachrichten mitzulesen, Telefonate abzuhören, den Aufenthaltsort von Zielpersonen zu überwachen oder im Namen eines Opfers Daten zu verschicken. Entdeckt haben die Schwachstellen Luca Melette und Sina Yazdanmehr vom Berliner IT-Sicherheits-Unternehmen SR Labs. Die Schwachstellen betreffen den relativ neuen, bei Kunden kaum bekannten Mobilfunkstandard Rich Communication Service (RCS). Dieser Standard wird mittlerweile vor allem von Google vorangetrieben und soll den SMS-Standard ersetzen und Konkurrenten wie WhatsApp oder iMessage von Apple angreifen.
Anfällig sind Kunden, wenn ihr Handynetz RCS anbietet, wie dies in Deutschland Vodafone und die Deutsche Telekom tun. Außerdem funktionieren einige der Angriffe nur, wenn Kunden ein RCS-kompatibles Telefon haben. Dazu zählen die meisten der in den vergangenen vier Jahren entwickelten Smartphone-Modelle. "Selbst wer noch nie von dem Standard gehört hat, kann gehackt werden", sagt Karsten Nohl, Leiter von SR Labs. Zwar sind die deutschen Netze vor dem Mitlesen von Nachrichten recht gut mit Passwörtern geschützt. Das Tracken eines groben Aufenthaltsorts ist allerdings ohne Passwort möglich. Zudem verwendet mindestens einer der weltweit rund 80 Mobilfunkanbieter, die RCS anbieten, zu kurze Passwörter.
Der für Kunden wohl gefährlichste Angriff auf das RCS-Netz ermöglicht es Hackern, die Kurznachrichten ihrer Opfer mitzulesen. Besonders einfach ist dies möglich, wenn ein Opfer sich mit einem falschen, kostenlosen Hotspot verbindet. Um eine solche Falle aufzustellen, brauchen Hacker wenig mehr als einen Laptop. Fake-Hotspots könnten kriminelle Hacker beispielsweise am Flughafen neben einer Airline-Lounge betreiben, um potenziell lukrative Opfer zu finden.
Sobald die Zielperson in dem falschen Wlan eine Website aufruft, leiten die Hacker die Anfrage auf eine von ihnen kontrollierte Webpage. Das Opfer kann sich dagegen nicht wehren. Auf seinem Gerät sieht das Opfer die Website, die es tatsächlich aufgerufen hat, nur die Adresszeile verrät die Manipulation. Doch für die Opfer ist es schon zu spät. Die Angreifer haben einen Schadcode verschickt, der dafür sorgt, dass sie jetzt im Besitz der Konfigurationsdatei des RCS-Netzes sind. Diese ist klein, aber der entscheidende Schlüssel zur Kommunikation des Opfers.
Mit den abgefangenen Daten erreichen die Hacker, dass alle Textnachrichten ab sofort auf ihrem Laptop oder Handy landen - auch nachdem das Opfer den falschen Hotspot verlassen hat. Der Angriff funktioniert auch aus der Ferne, wenn das Opfer eine harmlos aussehende, aber schädliche App herunterlädt. Studien zeigen, dass viele Nutzer auf solche Angriffe reinfallen.
Mit den abgefangenen Textnachrichten können die Hacker die Konten für E-Mail-Accounts übernehmen, in dem sie sich neue Passwörter auf ihr Handy schicken lassen oder die für Banküberweisungen wichtigen TAN-Codes abfangen. Besonders fatal: Ob die Opfer die Nachrichten zu sehen bekommen oder nicht, können die Hacker pro Nachricht selbst entscheiden. So können sie verhindern, dass ihr Angriff bemerkt wird.
Die Konfigurationsdatei ist zwar durch ein sogenanntes One-Time-Passwort (OTP) geschützt, doch dieses können Hacker in manchen Fällen problemlos überwinden. In einem Mobilfunknetz stießen Melette und Yazdanmehr auf einen Anbieter, der einen sechs Ziffern langen Code als Passwort verlangte, aber unendlich viele Eingabeversuche erlaubte. Das Passwort konnten die Sicherheitsforscher so in wenigen Minuten von einem Programm knacken lassen. Diese Konfiguration fanden sie bei einem größeren europäischen Telefonanbieter. Welcher betroffen ist, wollen sie nicht verraten, um kriminellen Hackern keinen Hinweis auf Ziele zu geben. Vodafone und die Deutsche Telekom verlangen jedoch laut ihren Tests ein verhältnismäßig sicheres OTP, das den Angriff auf Textnachrichten extrem erschwert.
"Einige Schwachstellen könnten mehrere Wochen oder Monate bestehen bleiben"
Manche Angriffe der Sicherheitsforscher funktionieren, ohne dass ein Passwort umgangen werden muss. So konnten die Hacker im Namen eines Opfers unbemerkt eine falsche Nachricht verschicken. In dem von der SZ eingesehenen Testfall verlangten sie von einem Freund eine Überweisung auf ihr Konto, weil angeblich das Portemonnaie im Urlaub geklaut worden sei. Auch lässt sich über den RCS-Standard überwachen, in welcher Funkzelle sich ein Opfer befindet. So ließe sich ein grobes Bewegungsprofil von Zielpersonen erstellen. "Ich hoffe, dass unsere öffentliche Präsentation den Unternehmen hilft, die Schwachstellen zu beheben", sagt Luca Melette. "Einige Schwachstellen könnten allerdings mehrere Wochen oder Monate bestehen bleiben, das ist für die Mobilfunkunternehmen nicht so einfach zu fixen wie ein Windows Update."
Eine Sprecherin von Vodafone erklärte, dass man die Forschung von SR Labs kenne und "eine Reihe von Maßnahmen zum Schutz der RCS-Dienste getroffen" hat. Laut der Deutschen Telekom wird sich der für den RCS-Standard verantwortliche Weltverband der Mobilfunkunternehmen GSMA am Montag gegenüber Telefonunternehmen zu Schwachstellen bei RCS äußern. Die Forscher von SR-Labs schlagen als Schutzmaßnahme unter anderem vor, dass sich Handys gegenüber den RCS-Servern mit ihrer SIM-Karte ausweisen müssen, statt mit einem beliebigen Passwort. So ließen sich viele Angriffe verhindern. Auch Kunden können ihren Schutz erhöhen, in dem sie stets darauf achten, in welches kostenlose Wlan sie sich einloggen und überprüfen, welche Entwickler tatsächlich hinter harmlos klingenden Apps stecken
