LTE Protokolle und Schwachstellen


AV: A14 Status: Aktiv Thread Level: High Auswirkungen: Vertraulichkeit, Integrität, Verfügbarkeit Voraussetzung/Distanz: Remote Funk

Veröffentlicht: 13.03.2018 Aktualisiert: 08.07.2026

Immer mehr Schwachstellen im LTE-Protokoll werden bekannt.
Diese ermöglichen sich als ein anderer Nutzer oder auch als eine LTE Basisstation auszugeben. Ähnliche Schwachstellen gibt es schon immer in 2G (GSM) Netzen. Aber auch das moderne LTE / 4G-Netz hat einige Probleme auf Protokollebene.

MITRE ATT&CK

T1635 – Adversary-in-the-Middle (T1635)

Matrix: Mobile

Taktik: Credential Access (TA0006)

Technik: Adversary-in-the-Middle

Auf MITRE ATT&CK ansehen


Details:

Die umfassende Analyse wurde mit der Software "LTE Inspector" durchgeführt. [1]
Dieses Projekt stellt einen systematischen Ansatz vor, um LTE-Protokolle mithilfe formeller Methoden auf Sicherheitslücken zu prüfen. Es hilft Forschern, gezielt Angriffsvektoren zu finden, bevor sie in der Praxis ausgenutzt werden können. Damit liefert es ein Werkzeug für das Sicherheits-Design und die Protokoll-Analyse von 4G-Netzen.

aLTEr Attack [2]:
Dieser Angriff demonstriert, wie man die Luftschnittstelle von LTE-Netzen kompromittiert, indem man DNS-Anfragen eines Nutzers auf einem LTE-Netz umleitet. Dies ist ein gefährlicher Man-in-the-Middle-Angriff, da er trotz Verschlüsselung funktioniert. Das Projekt dient dazu, fundamentale Schwachstellen im LTE-Protokoll-Design aufzudecken, die bis heute für Nutzer kaum erkennbar sind.

IMP4GT (Impersonation Attacks in 4G) [3]:
Diese Forschung befasst sich mit der Identitätsfälschung, bei der ein Angreifer die Identität eines mobilen Geräts im 4G-Netz gegenüber dem Kernnetz vortäuschen kann. Das Ziel des Papers ist es, aufzuzeigen, wie Sicherheitsmechanismen umgangen werden können, um den Datenverkehr eines Opfers zu kapern oder abzuhören. Es verdeutlicht die Komplexität der Sicherheitsarchitektur moderner Mobilfunknetze.


Quellen/Links:
[1] LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE  http://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf <br> How to not break LTE crypto: https://www.sstic.org/media/SSTIC2016/SSTIC-actes/how_to_not_break_lte_crypto/SSTIC2016-Article-how_to_not_break_lte_crypto-michau_devine.pdf [2] aLTEr Attack https://montsecure.com/research/alter-attack/ [3] IMP4GT: https://poepper.net/papers/IMP4GT-NDSS20.pdf Video (IMPersonation Attacks in 4G NeTworks): https://www.youtube.com/watch?v=VzWsLmVDqZc



Erkennung:

Abrupte Netzwechsel: Da 2G eine sehr schwache Authentifizierung hat, ist es das bevorzugte Ziel für Downgrade-Angriffe.
Signal-Instabilität: Schwankende Signalbalken trotz stationärem Aufenthalt oder "voller Empfang, aber keine Datenübertragung".
Akku-Verbrauch: Ein plötzlich massiv erhöhter Akkuverbrauch kann auf ständige Funkzell-Reselection-Prozesse hindeuten.

Quellen/Links:




Gegenmaßnahmen:

Wichtige Gegenmaßnahmen liegen auf Netz- und Geräteebene: zeitnahe Security-Updates, konsequente Härtung der Core- und Access-Komponenten sowie Monitoring auf Downgrade- und Signalisierungsanomalien. Die Forschung zu LTEInspector und IMP4GT zeigt, dass systematisches Testen und formale Analysen Schwachstellen früh sichtbar machen können.

Für Nutzer und Organisationen reduziert zusätzliche Ende-zu-Ende-Verschlüsselung das Risiko bei Protokollschwächen in der Funkinfrastruktur. In kritischen Szenarien sollten auffällige Zell- und Protokollwechsel aktiv überwacht werden.


Quellen/Links:




Kategorien: 4G 5G LTE





Weitere Vektoren aus dem Bereich

Parser-Schwachstellen in Mobilfunk-Protokollen

Parser-Schwachstellen in Mobilfunk-Protokollen betreffen die Verarbeitung speziell präparierter Signalisierungsnachrichten in LTE- und 5G-Netzen. Fehler in der Parser-Logik können Abstürze auslösen und im Einzelfall weitergehende Angriffe auf Netzkomponenten oder Basisband-Implementierungen ermöglichen.

Unverschlüsselte Datenverbindung

Bei der Datenverbindung (ps) wird zwischen dem Endgerät  und der SGSN im Kern-Netz verschlüsselt. Nicht zwischen BTS und Endgerät wie es bei einer cs-Verbindung der Fall ist. 

Verschlüsselung GEA/x (ps)

Passives Abhören auf der Luftschnittstelle ist auch bei der Datenverbindung möglich. (ps = paketvermittelt)GEA/1, GEA/2, GEA/3

Fall_Back to GSM

Ein automatischer „Fall-Back to Circuit Switched“  (beziehungsweise „Fall-Back to GSM“) ist für UTMS und LTE vorgesehen.