Millionen Menschen von Sicherheitslücke bei WLAN-Calling betroffen
Der Forscher Adrian Dabrowski vom Cispa in Saarbrücken hat gemeinsam mit Kollegen aus Österreich eine Sicherheitslücke beim sogenanten WLAN-Calling aufgedeckt. Dabei verbinden sich Smartphones über WLAN mit dem Mobilfunknetz. Bei der aufgedeckten Sicherheitslücke hätte die Kommunikation abgehört werden können.
Das WLAN-Calling gibt es bereits seit 2016. Moderne Smartphones können dabei statt über den Mobilfunk per WLAN (WiFi) eine Telefonverbindung herstellen. Dieses Voice over WiFi (VoWiFi) ist etwa an Orten mit schlechter Mobilfunkqualität nützlich, wie in Tunneln, Kellern oder auf Bahnfahrten.
Bei einer Untersuchung habe man nun festgestellt, dass der Verbindungsaufbau zwischen Smartphone und Mobilfunknetz in einigen Fällen nicht sicher erfolgt, so Adrian Dabrowski vom Cispa Helmholtz-Zentrum für Informationssicherheit in Saarbrücken.
Betroffene vor allem in Österreich, der Slowakei, Brasilien und Russland
Nach Angaben des Cispa waren 13 von insgesamt 275 untersuchten Mobilfunkanbietern unsicher, darunter Anbieter aus Österreich, der Slowakei, Brasilien und Russland. Durch die Schwachstelle sei die Kommunikationssicherheit von 140 Millionen Kundinnen und Kunden gefährdet gewesen.
Schuld war laut Adrian Dabrowski und seinen Kollegen aus Wien eine unzureichende Verschlüsselung. So hätten jeder der betroffenen Mobilfunkanbieter, die Smartphone-Hersteller und eventuell die Sicherheitsbehörden in den jeweiligen Ländern, Zugriff auf die Kommunikation haben können.
Sicherheitslücken durch Updates behoben
Eine weitere Schwachstelle fanden die Forscher in Chips des taiwanesischen Herstellers MediaTek, die in einigen Android-Smartphones von Herstellern wie Xiaomi, Oppo, Realme und Vivo verbaut werden. Hier sei es durch gezielte Attacken möglich gewesen, die Verschlüsselung der Smartphones auf die schwächste Variante zu reduzieren, erklärte Dabrowski.
Wie viele Nutzerinnen und Nutzer weltweit von Angriffen betroffen waren oder tatsächlich abgehört wurden, können die Forscher nicht sagen. Jedoch seien auf Basis der Erkenntnisse mittlerweile Updates durchgeführt worden, die die Sicherheitslücken beheben.
Über dieses Thema hat auch SR info im Radio am 31.07.2024 berichtet.
