Lieber im Lotto gewinnen
Genug von GEA-1
Symbolbild
Auch in iPhones – wo Datenschutz draufsteht, versteckt sich manchmal eine geheime Hintertür.

Sicherheitslücke. RUB-Forschende entdecken den GEA-1 Algorithmus in Mobiltelefonen, eine Hintertür aus den 90ern, die schon lange hätte entfernt werden sollen. 

1998 wurde der Verschlüsselungsalgorithmus GEA-1, der den Datenverkehr des 2G-Netzes verschlüsseln sollte, entwickelt und implementiert. 2013 kommunizierte ETSI den Herstellenden, den Algorithmus nicht mehr in ihren Geräten zu verbauen. Jetzt hat ein Team bestehend aus den RUB-Forschern Prof. Dr. Gregor Leander, Dr. Christof Beierle, Lukas Stennes, Dr. David Rupprecht und ihren Kolleg:innen der Université Paris-Saclay, der Université de Rennes, dem französischen Forschungsinstitut Centre Inria de Paris sowie dem norwegischen Forschungsinstitut Simula UiB in Bergen herausgefunden: die Algorithmen GEA-1 und GEA-2 sind immer noch in Mobiltelefonen verbaut, sogar in solchen, die aus dem Jahr 2018 stammen, wie das iPhone XR, das Samsung Galaxy S9 und das OnePlus 6T.
GEA-1 verspricht „64-Bit-Sicherheit“, allerdings handelt es sich tatsächlich um einen 40-Bit-Schlüssel, was einen Angriff erleichtert. Die Forschenden sind sich sicher, dass diese Sicherheitslücke bewusst als eine Hintertür eingebaut wurde. „Da müsste man an zwei Samstagen hintereinander sechs Richtige im Lotto gewinnen, so wahrscheinlich ist es, dass das nicht absichtlich geschwächt wurde,“ so Dr. Beierle. Beim GEA-2 Algorithmus sieht es allerdings anderes aus: „Vermutlich war GEA-2 ein Versuch, einen sichereren Nachfolger für GEA-1 aufzusetzen. GEA-2 war allerdings kaum besser. Aber zumindest scheint dieser Algorithmus nicht absichtlich unsicher zu sein.“, erklärt Dr. Leander.
Doch Verbraucher:innen können aufatmen: momentan wird in Deutschland das 4G-Netz genutzt, aktuell wird das 5G-Netz ausgebaut. Nur in Regionen, in denen das Signal des 3G- oder 4G-Netzes zu schwach ist, wird auf das 2G-Netz zurückgegriffen. Zusätzlich werden Daten mittlerweile mit einem zusätzlichen Transportverschlüsselung versehen, sodass Datenschutz gewehrleistet werden kann.
Die Herstellenden sind über diese Sicherheitslücke informiert. Apple zum Beispiel plant ein iOS-Update für den Herbst, Samsung begann schon im April mit den Updates, um die Algorithmen von ihren Geräten zu entfernen. 

:Augustina Berger