Das Mobilteil
Der Angreifer kann damit dann beispielsweise den Text Ihres Anrufbeantworters verändern oder mit seinem falschen Mobilteil Anrufe bei einer teuren 0900-Nummer über Ihre Basis und damit Ihre Telefonrechnung aufbauen - idealerweise ist der Bösewicht auch noch an den Erlösen der Nummer beteiligt.
Aber auch Rufumleitungen Ihres Anschlusses oder andere fiese Dinge sind so möglich. Nicht auszudenken, wenn so auch Zugriff auf EC-Bezahlterminals oder Türöffner möglich wäre.
Doch wie realistisch ist dieses Szenario? Eigentlich fordert die Basis ja einen Echtheitsnachweis vom Mobilteil. Dafür sorgt normalerweise der DECT-Standard Authentification Algorithm (DSAA, siehe "So funktioniert DECT").
Den allerdings haben die Forscher ebenfalls weitgehend geknackt und kommen somit an den UAK, der eine ganz entscheidende Rolle beim Challenge-Response-Verfahren spielt.
Spionage: Keine banale Sache
© Fotos: Hersteller, iStockphoto
Derzeit müssen die Forscher dazu zwei kurze Verbindungen zwischen Original-Mobilteil und Original-Basis mitschneiden. Aus diesen Daten können sie dann den UAK berechnen, was allerdings ein paar Stunden dauert.
Sendet die Basis des Opfers nun seine Challenge an das falsche Mobilteil, kann dieses dank des UAK die korrekte Antwort berechnen und wird von der auszuspähenden Basis akzeptiert. Dazu muss der Lauscher seinem Spionage-Handset allerdings erst einmal den UAK beibringen, was keine banale Sache ist: Die meisten DECT-Telefone haben im Batteriefach kleine Kontakte.
Über diese Kontakte lässt sich der EPROM, ein wiederbeschreibbarer Speicher des Mobilteils, auslesen und beschreiben, und auf diesem Weg muss der Lauscher sein Mobilteil denn auch mit dem UAK des Opfers füttern.
Ein machbares, aber kompliziertes Prozedere, das nicht mal eben beim Vorbeifahren funktioniert, wie es diverse TV-Beiträge zum Thema suggeriert haben; dazu bedarf es schon beträchtlicher krimineller Energie und Vorbereitung.
Immense Schäden möglich
Wer sich die Mühe macht, kann allerdings immensen Schaden anrichten - PINs ausspähen, Türen öffnen etc. Reines Abhören funktioniert mit Kenntnis des UAK dagegen simpel.
So ist es sogar möglich, ein verschlüsseltes DECT-Gespräch nach dem Auffangen mit Notebook und Com-on-air-Karte zu entschlüsseln und anzuhören.
Die Einschränkung des ersten Szenarios, nämlich dass man näher am Mobilteil sein muss als die Originalbasis, gilt hier nicht - das Opfer ist in der kompletten Reichweite seines DECT-Systems abhörbar.
