Categories: Mobile

Bericht: GPRS-Verschlüsselung wahrscheinlich absichtlich geschwächt

Einem Forschungsbericht zufolge, der Vice vorliegt, steckt in dem Algorithmus GEA-1, der für die Verschlüsselung von GPRS-Datenverkehr in 2G-Netzen benutzt wird, eine Schwachstelle. Sie erlaubt es Hackern offenbar, GPRS-Internetverkehr abzuhören. Die Autoren des Berichts nehmen zudem an, dass die Schwächung der Verschlüsselung absichtlich eingeführt wurde und nicht auf einem Fehler beruht.

Forscher mehrere europäischer Universitäten erhielten demnach von einer nicht näher genannten Quelle die beiden Verschlüsselungsalgorithmen GEA-1 und GEA-2, die proprietär und damit nicht öffentlich verfügbar sind. Bei deren Analyse stellten sie fest, dass beide anfällig für Angriffe sind, die eine Entschlüsselung jeglichen Datenverkehrs erlauben.

Bekannt war bereits, dass beide Algorithmen nach heutigen Standards nur einen schwachen Schutz bieten. Um die Algorithmen zu untersuchen schrieben die Forscher eigene Verschlüsselungs-Algorithmen mithilfe eines Zufallsgenerators. Die Ergebnisse lieferten aber stets eine stärkere Verschlüsselung als GEA-1 und GEA-2. “In einer Million Versuche sind wir nie auch nur in die Nähe einer solch schwachen Instanz gekommen”, zitiert Vice aus dem Forschungsbericht. “Dies impliziert, dass die Schwachstelle in GEA-1 wahrscheinlich nicht zufällig auftritt, was darauf hindeutet, dass die Sicherheitsstufe von 40 Bit auf Exportbestimmungen zurückzuführen ist.”

Einen Angriff auf GPRS-Datenverkehr bezeichneten die Forscher als “ziemlich einfach”. Jeder, der den Datenverkehr eine Mobiltelefons abfangen könne, sie auch in der Lage, den Verschlüsselungsschlüssel wiederherzustellen.

Eingeführt wurde der ältere der beiden Schlüssel, GEA-1, im Jahr 1998. Ein Sprecher des für dessen Entwicklung verantwortlichen European Telecommunications Standards Institute (ETSI) räumte auf Nachfrage von Vice eine Schwachstelle in dem Algorithmus ein. Sie sei aufgrund von damals bestehenden Exportbeschränkungen eingeführt worden. Sie hätten eine stärkere Verschlüsselung untersagt.

Havard Raddum, einer der Autoren des Berichts, wirft dem ETSI nun vor, die Sicherheit von Nutzern gefährdet zu haben, um politische Anforderungen zu erfüllen. GEA-2 verfüge zwar nicht über dieselbe Schwachstelle wie sein Vorgänger, mit einem aufwändigeren Angriff sei es aber trotzdem möglich, damit verschlüsselten Datenverkehr abzuhören. GEA-2 bietet für heutige Standards keinen ausreichend Schutz.

Zwar wurden beide Algorithmen schon vor Jahren durch die neuen Mobilfunkstandards 3G und 4G abgelöst – und die Nutzung von GEA-1 sogar im Jahr 2013 vom ETSI untersagt, trotzdem kommen beide noch heute überall dort zum Einsatz, wo 2G-Netze noch aktiv sind und als Fallback in schlecht versorgten Gebieten dienen. Den Forschern zufolge unterstützen noch im Jahr 2018 eingeführte Smartphones wie Apple iPhone XR, Samsung Galaxy S9, Nokia 3.1 oder OnePlus 6T GEA-2 und auch GEA-1. “Mobiltelefone unterstützen immer noch GEA-1. Es gibt auch heute noch Szenarien, in denen Telefone dazu gebracht werden können, GEA-1 zu benutzen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KIT beteiligt sich an KI-Governance-Startup

Spinoff entwickelt Werkzeuge zur Qualitätssicherung in der Künstlichen Intelligenz. Weitere prominente Geldgeber steigen ein.

34 Minuten ago

Deutscher Cloud-Sektor in Bewegung

Große Systemintegratoren verlieren zunehmend Kunden an mittelständische Anbieter im Bereich hybrider Cloud-Lösungen.

2 Stunden ago

KI-Modell verbessert Präzision der Wettervorhersage

Das KI-Modell von Alibaba prognostiziert mit stündlichen Aktualisierungen die Wetterbedingungen von einer Stunde bis zu…

1 Tag ago

Autonom handelnde KI-Agenten

"Wir werden eine stärkere Integration von KI-Agenten sehen, die durch Prozessintelligenz neue Maßstäbe setzen", sagt…

1 Tag ago

KI gegen Bürokratie

Maßgeschneiderte KI-Agenten eines deutschen Start-ups soll gegen überbordende Bürokratie und verklausuliertes Amtsdeutsch helfen.

2 Tagen ago

Digitalisierung Deutschlands schreitet nur in kleinen Schritten voran

Cisco Digital Kompass 2025 zeigt: Chancen werden nicht überall konsequent genutzt und es scheint eine…

2 Tagen ago