Forscher aus Deutschland, Norwegen und Frankreich haben eine Sicherheitslücke entdeckt, die bereits seit den 90er Jahren besteht und es erlaubt, den Datenverkehr von Handys abzugreifen.
In dem wissenschaftlichen Papier, das gestern veröffentlicht wurde, geht es um die Verschlüsselungstechiken GEA-1 und GEA-2, die in GPRS verwendet werden, heutuztage als „2G“ bekannt. Diese Verschlüsselung wird nach wie vor verwendet – damit sind auch aktuelle Smartphones betroffen.
Datenverkehr konnte jahrelang mitgeschnitten werden
Die Verschlüsselung soll mit relativ geringem Aufwand zu knacken sein, heißt es in dem Papier. Und: Offenbar handelt es sich nicht um eine zufällige Schwachstelle, sondern um eine bewusst eingebaute Hintertür, die es damit über Jahrzehnte ermöglicht hat, Datenverkehr von Handys mitzulesen.
Das war vor allem in den Nullerjahren ein Problem: Damals waren viele Websites noch nicht verschlüsselt erreichbar, die Sicherheit des Handynetzes war also die einzige Barriere, um den Datenverkehr von Handynutzerinnen und -nutzern nicht mitlesen zu können. Diese Hürde wurde jedoch offenbar ganz bewusst umgangen.
Nur noch wenige Anbieter nutzen alten Standard
Die Forscher warnen in ihrem Papier auch, dass der Großteil des Datenverkehrs im Netz heute zwar verschlüsselt ist – Metadaten, also: welche Server zu welchem Zeitpunkt kontaktiert werden, lassen sich daraus allerdings trotzdem ablesen.
Die Gefahr schätzen die Forscher dennoch als „heutzutage vergleichsweise gering“ ein, da nicht mehr allzu viele Handyanbieter den unsicheren GEA-2-Standard verwenden, GEA-1 kommt schon seit geraumer Zeit nicht mehr zum Einsatz.