In Krimis und Agentenfilmen gehört das Orten von Personen über das Handy zum Standard-Repertoire. Ein Forschungsteam des HPI und der University of Toronto hat jetzt gezeigt: Das Mobilfunknetz wird tatsächlich für die Standortbestimmung von Menschen genutzt. Kommerzielle Anbieter greifen dafür auf längst bekannte Sicherheitslücken zurück.
„Mobilfunknetze sind hochgradig undurchsichtig und extrem komplex“, sagt HPI-Doktorandin Swantje Lange. Gemeinsam mit dem Sicherheitsforscher Gary Miller veröffentlichte sie den Bericht „Bad Connection: Uncovering Global Telecom Exploitation by Covert Surveillance Actors“ beim Citizen Lab, einer Forschungseinheit an der Munk School of Global Affairs & Public Policy der University of Toronto, die Bedrohungen für die Menschenrechte im digitalen Ökosystem untersucht.
Mieten statt Hacken
Gemeinsam analysierten Swantje Lange und Gary Miller Firewall-Daten aus dem Mobilfunknetz. Sie schauten sich also an, welche Angriffe dort abgefangen wurden, um daraus Schlüsse über Angriffsstrategien zu ziehen. „Wir konnten zwei ausgeklügelte, koordinierte Überwachungskampagnen identifizieren“, sagt Swantje Lange.
Das Ausmaß der Ausspäh-Versuche lasse auf kommerzielle Anbieter statt Einzeltäter:innen schließen: „Wir konnten teilweise Standortabfragen beobachten, die fast zeitgleich von Netzen überall auf dem Globus kamen, gesendet innerhalb weniger Minuten von Anbietern in neun verschiedenen Ländern. Das ist ein klarer Indikator für einen Angriff, der die Kapazitäten von Einzelpersonen übersteigt.“
Überwachungsunternehmen verschaffen sich Zugang zu Mobilfunknetzen über die Signalisierungsinfrastruktur, die verschiedene Mobilfunknetzbetreiber miteinander verbindet. Über diese Infrastruktur werden im regulären Betrieb Teilnehmer- und Standortdaten ausgetauscht – etwa, um Roaming im Ausland zu ermöglichen. „Die Signalisierungsinfrastruktur wird privat verwaltet. Einige Betreiber vermieten Zugänge dazu, sogenannte ‚Global Titles‘“, sagt Lange.
Einmal angekommen, fragt niemand mehr
„Global Titles“ sind Adressen, ähnlich wie Telefonnummern, die von nationalen Telekommunikationsregulierungsbehörden vergeben werden. Wer einen „Global Title” besitzt, kann als legitime:r Teilnehmer:in die Signalisierungsinfrastruktur verwenden. Möglich machen das lückenhafte Protokollstandards, mit denen Daten bewegt werden. „Beim SS7-Protokoll, das im 2G- und 3G-Netz genutzt wird, wird keine Authentifizierung abgefragt“, sagt Swantje Lange.
Der 4G- und 5G-Standard, das Diameter-Protokoll, sieht zwar die Möglichkeit von Sicherungen über Authentifizierung und Verschlüsselung vor – vielfach wird dies aber schlicht nicht genutzt. Das Ergebnis: „Überwachungsanbieter können Signalisierungsabfragen senden, um beispielsweise festzustellen, mit welchem Mobilfunkmast ein Telefon aktuell verbunden ist“, erklärt Lange. „Das angegriffene Netz kann diese Anfragen nicht ohne Weiteres von legitimen unterscheiden.“
Unsichtbare SMS
Neben netzbasierten Standortabfragen identifizierten die Forschenden eine weitere Methode: unsichtbare Textnachrichten, die SIM-Karten direkt ausnutzen. Mobilfunkbetreiber verwenden normalerweise spezielle SMS-Nachrichten, um Netzwerkeinstellungen auf Geräten zu konfigurieren – diese Nachrichten werden von einer Anwendung auf der SIM-Karte verarbeitet, ohne dass Nutzende sie jemals sehen.
Überwachungsanbieter missbrauchen diesen Mechanismus, indem sie Befehle – etwa zur Abfrage von Standortdaten – in solche Nachrichten einbetten. Eine Anwendung auf der SIM-Karte führt den Code automatisch aus und sendet die angeforderten Informationen an den Angreifer zurück.
Es bleibt schwierig, diese Aktivitäten eindeutig zuzuordnen. Die technischen Muster deuten jedoch darauf hin, dass die Angriffe von kommerziellen Überwachungsplattformen durchgeführt werden, die vermutlich von mehreren Kunden genutzt werden, darunter auch Regierungen.
Gleichzeitig beginnen Regulierungsbehörden zu reagieren. Die britische Kommunikationsaufsicht hat beispielsweise kürzlich die Vermietung von „Global Titles“ verboten.
Den ganzen Report vom Citizen Lab gibt es hier.
