Zum Mitlesen gedacht: In vielen unserer Handys steckt ein Verschlüsselungs-Algorithmus mit einer geheimen Hintertür, wie IT-Forscher entdeckt haben. Diese Hintertür wurde höchstwahrscheinlich absichtlich eingebaut, um die früher über 2G versendeten Daten trotz Verschlüsselung mitlesen zu können. Trotz der neuen Standards ist der Algorithmus auf vielen Smartphones noch vorhanden, stellt aber wegen zusätzlicher Verschlüsselungen kein großes Risiko mehr dar.
Dass unsere Computer, Tablets und Smartphones keine hermetisch abgeriegelten, sicheren Datenspeicher sind, ist schon lange klar. Immer wieder werden Sicherheitslücken und Schwachstellen entdeckt, über die Hacker Informationen abgreifen oder Schadsoftware aufspielen können. Viele Handy-Apps fragen zudem nicht nur unsere persönliche Daten ab, sie geben sie auch an Dritte weiter.
Eine weitere Zugriffsmöglichkeit sind geheime „Hintertüren“ in Programmen und Betriebssystemen, die von Unternehmen oder auch Behörden eingebaut und genutzt werden. Diese absichtlichen Sicherheitslücken sollen es erlauben, beispielsweise der Polizei oder den Nachrichtendiensten Zugriff auf den Computer oder das Handy zu geben oder Nachrichten mitzulesen.
Absichtlich schwache Verschlüsselung
Eine solche Hintertür haben nun Forscher um Christof Beierle von der Ruhr-Universität Bochum (RUB) auf Smartphones identifiziert. Den Anstoß für ihre Analysen erhielten sie durch eine anonyme Quelle, die ihnen die Algorithmen für eine ab den 1990er Jahren eingesetzten Verschlüsselungs-Technologie zuspielte. Diese GEA-1 und GEA-2 genannten Codes wurden früher genutzt, genutzt, um Datenverkehr über das 2G-Netz zu verschlüsseln, etwa beim E-Mailen oder beim Aufruf von Webseiten.
Als das Forschungsteam die Algorithmen und ihre Funktionen genauer analysierten, stießen sie bei auf gravierende Sicherheitsmängel: Die von GEA-1 erzeugten Chiffrierungen sind so aufgebaut, dass sie relativ leicht zu knacken sind. Auch den GEA-2-Algorithmus nahmen die IT-Experten unter die Lupe. Er ist kaum sicherer als GEA-1. „Vermutlich war GEA-2 ein Versuch, einen sichereren Nachfolger für GEA-1 aufzusetzen“, sagt Gregor Leander von der RUB. „GEA-2 war allerdings kaum besser.“
Bewusst eingebaute Hintertür
Das Entscheidende jedoch: Diese Mängel in der Verschlüsselung waren offenbar kein Programmierfehler oder Zufall: „Unserer experimentellen Analyse zufolge ist es in etwa so wahrscheinlich, zweimal hintereinander sechs Richtige im Lotto zu haben, als dass diese Eigenschaften des Schlüssels zufällig auftreten würden“, erklärt Beierle. Zumindest in den Code von GEA-1 muss dieser Mangel absichtlich als geheime Hintertür eingebaut worden sein.
Dazu passt, dass der Code dieses Verschlüsselungs-Algorithmus bis heute geheim ist. „Auch wenn Geheimdienste und Innenminister sich aus nachvollziehbaren Gründen solche Hintertüren wünschen, sind sie nicht sinnvoll“, sagt Gregor Leander, Leiter der RUB-Arbeitsgruppe Symmetrische Kryptographie. „Denn nicht nur sie können diese Schwachstellen nutzen, sondern auch alle anderen Angreiferinnen und Angreifer.“
Noch vorhanden, aber keine große Gefahr mehr
Obwohl das 2G-Netz heute überholt ist und längst andere Mobilfunk-Standards gelten, ist der Algorithmus GEA-1 noch immer auf vielen Handys präsent. Das Forschungsteam fand den Algorithmus sowohl in aktuellen Android- wie iOS-Smartphones. „Dass es immer noch passiert, zeigt, dass die Hersteller den Standard nicht richtig befolgen“, erklärt David Rupprecht von der RUB. Eigentlich sollte GEA-1 seit 2013 nicht mehr in mobile Geräte implementiert werden.
„Unsere Arbeit zeigt: Wenn eine Hintertür einmal implementiert ist, bekommt man sie so schnell nicht wieder weg“, so Lander. Dennoch gehe heute keine große Gefahr mehr von dieser Schwachstelle aus. Denn inzwischen erfolgt der Datenverkehr zum größten Teil über das 4G-Netz, auch LTE genannt. Außerdem werden die Daten mittlerweile mit einer zusätzlichen Transportverschlüsselung versehen.
Um diese Hintertür zu beseitigen, hat das Team aber bereits vor Veröffentlichung ihrer Daten die Handy-Hersteller über den Mobilfunkverband GSMA kontaktiert, um ihnen die Gelegenheit zu geben, GEA-1 durch Software-Updates zu entfernen. Zusätzlich nahmen sie Kontakt zur ETSI auf, der für die Telekommunikationsstandards verantwortlichen Organisation. Sie soll dafür sorgen, dass auch GEA-2 aus den Telefonen entfernt wird. (Eurocrypt 2021; Advances in Cryptology, doi: 10.1007/978-3-030-77886-6_6)
Quelle: Ruhr-Universität Bochum