A3/A8 Implementierung


AV: B17 Status: Historisch Thread Level: High Auswirkungen: Vertraulichkeit, Integrität, Geräteidentifikation, Datendiebstahl Voraussetzung/Distanz: Remote Funk

Veröffentlicht: 23.12.2012 Aktualisiert: 11.07.2026

Der Algorithmus zur Authentifizierung A3 sowie der Algorithmus A8 zur Schlüsselerzeugung werden vom Mobilfunkprovider implementiert.

Keine MITRE Quellen vorhanden.



Details:

Bei Fehlern können tiefgreifende Sicherheitsprobleme entstehen, durch die zum Beispiel ein Identitätsdiebstahl (SIM-Cloning) ermöglicht werden kann. Wie es bei Comp128-v1 der Fall ist. Diese Karten sind in Europa seit 2002 nicht mehr in Gebrauch.


Quellen/Links:
Technische Quellen (Algorithmen, Implementierung, Hintergrund)



Erkennung:

Die Erkennung eines Fehlers bei der Implementierung der Algorithmen A3/A8 ist am Endgerät in der Regel nicht möglich. Ob eine unsichere oder veraltete Implementierung wie COMP128-1 verwendet wird, lässt sich normalerweise weder an der Benutzeroberfläche noch mit üblichen Apps zuverlässig feststellen.

Belastbare Aussagen sind meist nur über Analysen der SIM, Hersteller- bzw. Providerinformationen oder spezialisierte Sicherheitsforschung möglich.



Quellen/Links:




Gegenmaßnahmen:

A3/A8 in dieser Form ist ein Thema klassischer GSM-/2G-Netze. Eine sinnvolle Gegenmaßnahme ist daher, wenn betrieblich möglich, die Deaktivierung von 2G auf dem Endgerät und die Nutzung modernerer Mobilfunkstandards. Zusätzlich sollten veraltete SIM-Implementierungen und Altgeräte vermieden werden.

Aus Sicht des Betriebs ist vor allem die Migration weg von schwachen oder veralteten COMP128-Varianten relevant. Je weniger Legacy-GSM genutzt wird, desto kleiner ist die praktische Angriffsfläche.


Quellen/Links:









Weitere Vektoren aus dem Bereich

WAP Billing

Beim Aufrufen einer WAP-Seite (Wireless Application Protocol) sendet das Smartphone seine MSISDN (Mobile Subscriber Integrated Services Digital Network Number) and den Betreiber dieser Webseite.(auch WAP Billing genannt) Dieser kann die Information

Synchronisation PIM-Daten

Bei der Synchronisation von E-Mail-Konten, Kalendern, Kontakten und anderen Dateien könne Sicherheitsrisiken bestehen.

Entladen des Akkus

Wird durch eine Kombination aus verschiedenen Angriffs-Vektoren auf zwei Ebenen realisiert. [1]

WAP-Gateway

Informationen über das Smartphone können am WAP-Gateway abgefragt werden.