Die Basisstation
Die Forscher wiesen die Com-on-air-Karte an, die gleiche RFPI wie die Basis des Opfers zu senden. Dazu muss man wissen, dass bei DECT jegliche Kommunikation vom Mobilteil ausgeht. Dieses horcht im Standby-Betrieb die Kanäle nach Störungen ab und speichert die Kanalgüte in der sogenannten RSSI-Lis...
Die Forscher wiesen die Com-on-air-Karte an, die gleiche RFPI wie die Basis des Opfers zu senden. Dazu muss man wissen, dass bei DECT jegliche Kommunikation vom Mobilteil ausgeht. Dieses horcht im Standby-Betrieb die Kanäle nach Störungen ab und speichert die Kanalgüte in der sogenannten RSSI-Liste ab.
Für die Kommunikation mit der Basis wählt das Mobilteil dann stets den besten Funkkanal. Kommt man nun mit der gefälschten Basis näher ans Mobilteil als mit der Originalbasis, sucht das Mobilteil Kontakt zu der Basis mit dem stärkeren Pegel, also zur gefälschten Basis. Das ist so weit noch nicht per se gefährlich.
Doch was die Forscher dann festgestellt haben, grenzt an einen Skandal: Will das Mobilteil nun eine Verbindung zur Basis aufbauen, überprüft die Basis anhand des Challenge-Response-Verfahrens (siehe "So funktioniert DECT") die Echtheit des Mobilteils, umgekehrt muss die Basis dem Mobilteil aber nicht beweisen, dass sie der echte Partner ist.
Die falsche Basis funkt: "Passt schon"
Die Basis schickt also eine Anfrage ans Mobilteil, das entsprechend antwortet. Mit dieser Antwort kann die gefälschte Basis zwar nichts anfangen, da sie die korrekte Antwort nicht kennen kann. Das muss sie aber auch nicht: Sie funkt einfach "passt schon" zurück - und schon loggt sich das Mobilteil in der falschen Basis ein.
Verbindet man nun die falsche Basis beispielsweise über einen VoIPAsterisk- Server mit dem Festnetz, kann das Opfer mit seinem Mobilteil über die falsche Basis (also über die Com-on-Air-Karte) ganz normal telefonieren. Der Lauscher wiederum kann an der Com-on- Air-Karte bequem das Gespräch abfangen.
Den schwarzen Peter haben hier eindeutig die DECT-Hersteller: Sie hätten dafür sorgen müs sen, dass die Basis gegenüber dem Mobilteil ebenfalls per Challenge- Response ihre Echtheit beweisen muss. Die Abfrage wird zwar vom DECT-Standard vorgesehen, ist im weitverbreiteten GAP-Profil aber nur optional.
Doch es kommt noch dicker: DECT sieht vor, Verbindungen mit einem Stromchiffre zu verschlüsseln. Dumm nur, dass auch die Verschlüsselung vom DECT-Standard lediglich als optional gesehen wird.
Wenn jetzt also die gefälschte Basis dem originalen Mobilteil zuruft "Ich will nicht verschlüsseln", dann baut das Mobilteil brav eine unverschlüsselte Verbindung auf, die man sogar über die Luft mit geeignetem Gerät abhören kann.
An Nachlässigkeit kaum zu überbieten
Das ist an Nachlässigkeit kaum noch zu überbieten: Da ist mit DECT Standard Cypher (DSC) eine Verschlüsselungstechnik vorgesehen und oft auch in den Geräten implementiert, trotzdem lassen sich ohne Probleme unverschlüsselte Verbindungen anstoßen.
Allerdings zeigt sich auch, dass dieser Angriff zwar theoretisch sehr einfach, die Angriffswahrscheinlichkeit aber erst einmal gering ist. Denn der Lauscher muss mit seinem Notebook mit Com-on-Air-Karte näher ans Mobilteil als die Original-Basisstation kommen - was zumindest im privaten Umfeld wohl kaum passieren dürfte.
Zwar könnte man den Kanal der Original-Basis mit aufwendiger Ausrüstung stören, sodass man auch aus weiterer Entfernung lauschen könnte, der Aufwand steigert sich dann aber immens. Außerdem verhält sich ein Mobilteil oft anders, wenn es nicht an seiner Original-Basis eingebucht ist (siehe "Tipp: Schutz vor Lauschern").
