Schöne neue Hotspot-Welt

Ein Fachartikel zur WLAN-Sicherheit von IT Security Consultant Michael Schmidt

Die Sicherheit von WLAN-Funknetzen steht seit den Anfangstagen der IEEE 802.11-Standardisierung mit dem missglückten WEP (Wired Equivalent Privacy)-Standard aus dem Jahr 1997 bis zur Aufdeckung  der KRACK-Schwachstelle in Implementierungen des modernen WPA2-Standards im Jahr 2017 seit über 20 Jahren unter keinem guten Stern.

Dennoch hat sich die Nutzung von WLAN im privaten und  beruflichen Umfeld durchgesetzt, beflügelt durch die niedrigen Kosten bei Anschaffung und Betrieb der WLAN-Infrastruktur. Bei der Nutzung von Smartphone & Co ist WLAN noch vor dem teureren Mobilnetz die wichtigste Connectivity-Variante. Die große Mehrheit aller Smartphonenutzer (und damit der Gesamtbevölkerung) hat WLAN im Always-On-Betrieb aktiviert und verlässt sich auf die Sicherheitsmechanismen auf Transport- und Anwendungsebene in offenen WLAN-Hotspots.

Dies hat zwei Entwicklungen befeuert: Einerseits betreiben immer mehr Unternehmen und öffentliche Einrichtungen immer größere Installationen von WLAN-Netzen, angefangen von Hotelketten, Shoppingmalls, Konzerthallen, Stadien bis hin zu städteweiten Hotspot-Angeboten der Kommunen. Andererseits weiten klassische Hotspot-Betreiber wie Internet Service Provider ihre Angebote immer weiter aus, unter anderem auch durch zusätzlich abgestrahlte Hotspot-SSIDs auf den Zugangspunkten der Endkunden. In den USA gab Comcast schon im Jahr 2015 in einem Blogbeitrag bekannt, in ihrem WLAN-Netzwerk mehr als 10 Millionen Access Points anzubieten.

Durch diesen allgegenwärtigen WLAN-Betrieb rücken zunehmend die im IEEE 802.11-Standard fehlenden Schutzmaßnahmen hinsichtlich Ausspäh- und Zugriffsmöglichkeiten auf personenbezogene Daten sowie insbesondere Tracking und Profilbildung von Nutzerinnen und Nutzern in den Fokus von Sicherheitsanalysen.

Grundproblem IEEE 802.11 MAC-Header

Klassisch steht bei der Diskussion von 802.11-Sicherheitsmechanismen der Schutz der Vertraulichkeit, Integrität und Authentizität der Kommunikationsinhalte im Vordergrund. Funknetze sollten darüber hinaus auch die Identitäten der Kommunikationsteilnehmer schützen, um unautorisiertes Tracking und das Erstellen von Bewegungsprofilen zu unterbinden.

Schon das GSM-Mobilfunknetz schützt ihre Kommunikationsteilnehmer gegen Tracking und Überwachung durch die Nutzung temporärer Kennungen, die nur pro Funkzelle und nicht global eindeutig gewählt sind. Insbesondere werden die global eindeutige IMSI (International Mobile Subscriber Identity) sowie die MSISDN (Mobile Subscriber ISDN) des Mobilfunkteilnehmers soweit als möglich nicht im Klartext über die Luftschnittstelle gesendet.

Im IEEE 802.11 MAC-Header kommen jedoch global eindeutige MAC-Adressen zum Einsatz, die die Endgeräte identifizieren und im Klartext über die Luftschnittstelle versendet werden. Der Standard sieht keinerlei Schutz gegen Identifizierung und Tracking vor. Da das Smartphone für die meisten Menschen zu einem der persönlichsten Gegenstände zählt, das nahezu ständig mitgeführt wird, und außerdem die MAC-Adresse nicht auf einfache Weise geändert werden kann, ist dies mindestens mit Kenntnis der IMSI gleichzusetzen.

Präsenzinformation

Eine "naive" Diskussion beschränkt sich meist auf die vom Smartphone kontinuierlich ausgesandten Probe Request Frames, mit denen nach verfügbaren WLAN-Netzen gesucht wird. Der Mechanismus hat aus Sicht des Angreifers mehrere Vorteile:

  • er wird mit meist nach 802.11b-Norm mit größter Reichweite codiert,
  • er wird von jedem Teilnehmer regelmäßig auf jedem unterstützten Kanal ausgesendet und
  • setzt nicht voraus, eine aktive Verbindung mit einem Hotspot zu nutzen.

Jedoch lassen sich von einem einzelnen Angreifer deutlich mehr WLAN-Teilnehmer identifizieren und lokalisieren, wenn zusätzlich zu den Probe Requests auch die Probe Response-Frames analysiert werden, die von den Access-Points ausgesandt werden. Diese entlarven nämlich auch sogenannte "Hidden Nodes", die sich nicht direkt in Reichweite vom Angreifer befinden. Neben der effektiven Reichweitenerhöhung werden auch noch Ortsinformationen preisgegeben, da der Standort des meist ortsfesten Zugangspunktes durch seine globale BSSID ebenfalls identifiziert werden kann. Vorteilhaft ist hier auch, dass Zugangspunkte eine deutlich höhere Sendeleistung erreichen und WLAN-Pakete mit besseren Signaleigenschaften abstrahlen können. Auf diese Weise wird jeder Access Point ungewollt zum Stellvertreter-Spion seiner Umgebung.

Optimale Verhältnisse sind gegeben, wenn es gelingt, eine Sichtverbindung (Line of Sight) zu einem Zugangspunkt zu erreichen. Maximale Reichweite können Angreifer erzielen, indem Systeme auf hohen Gebäuden oder im Extremfall sogar luftgestützt auf Drohnen installiert werden. Zur Interferenzunterdrückung ist dann meist eine Richtwirkung der Empfangsantenne beispielsweise durch aktive Antennenarrays notwendig.

Lokalisierungsinformation

Ein Angriffsvektor mit höherer Ortsauflösung ist gegeben, wenn der Angreifer mehrere Zugangspunkte an unterschiedlichen Standorten zeitgleich als Sniffer einsetzt und die Empfangspegel (RSSI) der WLAN-Pakete netzwerkweit korrelieren und analysieren kann. Dies kann eine Standortbestimmung des WLAN-Endgeräts bis auf wenige Meter ermöglichen. Diese Fähigkeit zur Lokalisierung von Wi-Fi-Endgeräten zur Erstellung von hochauflösenden Bewegungsprofilen wird inzwischen von WLAN-Herstellern unter dem Stichwort "Wi-Fi Location-Based Analytics" ganz offen als Feature vermarktet, das im Bereich Retail weitverbreitet im Einsatz ist.

Die Effektivität der Anonymisierungsverfahren der MAC-Adressen einer solchen Plattform ist dabei im Einzelfall zu prüfen, um datenschutzrechtlich konform zu sein. Da aber bei einer Wi-Fi Data Analytics-Plattform üblicherweise Statistiken wie "New Customer versus Repeat Customer" angeboten werden, liegt die Vermutung nahe, dass meist lediglich die Speicherung von MAC-Adressen im Klartext vermieden wird. Der Ersatz eines global eindeutigen Bezeichners A (hier MAC-Adresse) durch einen global eindeutigen statischen Bezeichner B (z. B. Hash/verschlüsselte MAC-Adresse) schützt den Kunden nicht vor Wiedererkennung (Repeat Customer).

Dass der Betrieb solcher Wi-Fi-Tracker datenschutzrechtlich nicht ganz unbedenklich ist, jedenfalls im öffentlichen Raum, erfuhr das britische Start-Up Renew im Jahre 2013 auf leidvolle Art. Das Unternehmen installierte 2012, dem Jahr der Olympischen Spiele in London, sogenannte Smart Bins, die durch eingebaute WLAN Sniffer im Financial District der Hauptstadt Bewegungsprofile der Passanten erstellten. Das Geschäftsmodell war hier unter anderem zielgerichtetes Marketing auf Werbetafeln sowie der Verkauf von aggregierten anonymisierten Bewegungsprofilen an den Einzelhandel. Als dies durch einen Artikel in der Tageszeitung Independent dann 2013 öffentlich bekannt wurde, war der Aufschrei groß und die Stadt London entzog dem Unternehmen kurzerhand die Betriebsgenehmigung. Der Independent zitiert den CEO von Renew, dass die insgesamt 12 Smart Bins pro Woche 4 Millionen MAC-Adressen erfassten.

Doch bei den großen Einzelhandelsketten erfreuen sich Wi-Fi-Data Analytics-Systeme weiterhin großer Beliebtheit. Das Smartphone mit aktivierter WLAN-Schnittstelle wird hier schnell zum Super-Cookie in der Data Analytics-Plattform. Ob die vom Hersteller angepriesene Anonymisierung der MAC-Adressen tatsächlich datenschutzrechtlich unbedenklich ist, kann letztlich nur eine detaillierte Analyse der angewandten kryptografischen Verfahren ergeben. Ansonsten laufen Betreiber dieser Analyseplattformen Gefahr, ähnlich leidvolle Erfahrungen wie das Start-Up Renew zu machen. Da Funkwellen auch vor Wänden nicht haltmachen, lässt es sich technisch kaum vermeiden, dass quasi als Beifang auch die Passanten im öffentlichen Raum außerhalb der Verkaufsräume erfasst werden.

(Un-)wirksamkeit von MAC Randomization

Um die Privatsphäre von Smartphone-Nutzern besser vor der Datensammelwut von WiFi-Trackern zu schützen, unterstützen sowohl Android ab Marshmallow (6.0) als auch Apple ab iOS8.0 MAC-Randomisierung für aktive WLAN-Scans, die zufällig generierte Adressen für die Probe Requests verwenden. Android nutzt einen Adressraum mit festem, voreingestelltem Prefix (OUI), der standardmäßig auf den Wert DA:A1:19 gesetzt ist. Apple iOS legt sich auf keinen Prefix fest und nutzt den gesamten Adressraum der global-administrierten Unicast MAC-Addressen von 46 Bit.

Doch dies schützt nur bedingt, da es eine Reihe von weiteren Informationselementen in Probe Request Frames gibt, die einen hersteller- und gerätespezifischen Fingerabdruck hinterlassen und Tracking trotz MAC Randomization ermöglichen. Im Jahr 2017 berichteten US-Forscher der Naval Academy in einer Feldstudie von Erkennungsraten von über 95% für Android-Smartphones. Doch nicht nur Forschungseinrichtungen des amerikanischen Militärs interessieren sich für Identifizierung und Tracking von Endgeräten. Forscher von Google schlagen in einer Studie zu Device Fingerprinting ein standardisiertes Format zur Klassifizierung des Probe Request-Fingerabdrucks vor und liefern auf GitHub gleich eine umfassende, frei verfügbare Wi-Fi Taxonomy als Open Source-Projekt mit.

Letztlich schützt MAC Randomization Smartphone-Nutzer vor Tracking-Angriffen auch nur, solange man nicht in WLAN-Netzen eingebucht ist. Sobald man mit sich mit einem Hotspot verbindet oder zwischen Zugangspunkten wechselt, wird eine statische MAC-Adresse preisgegeben. Befindet sich ein Zugangspunkt mit einer passenden SSID in Reichweite, passiert diese Einbuchung automatisch im Hintergrund. Bei einer Nutzung von Hotspot-Netzen mit großflächiger Abdeckung wird damit ebenfalls die Erstellung von Bewegungsprofilen aller Nutzer ermöglicht, sobald sich die SSID auf der Liste der gespeicherten Netzwerke befindet. Falls sich im zu überwachenden Bereich kein entsprechender Hotspot befindet, können Angreifer ohne Weiteres einen Rogue Access Point mit weitverbreiteter SSID betreiben, um den Schutz durch MAC-Randomisierung zu umgehen und das Endgerät zu enttarnen. Eine erfolgreiche Authentifizierung ist dabei nicht nötig, da die echte MAC-Adresse bei einer fehlgeschlagenen Anmeldung preisgegeben wird.

Wi-Fi IMSI-Catcher

Wie sensibel die Preisgabe von personenbezogenen Präsenzinformationen durch Tracking Devices sein kann, zeigt die Diskussion um den Einsatz von sogenannten IMSI Catchers. Denn obwohl Mobilfunknetze soweit als möglich die Verwendung der IMSI vermeiden, wird diese bei der Erstanmeldung des Mobilgeräts im Klartext übermittelt. IMSI Catcher nutzen diese Schwachstelle aus, indem sie sich als Rogue-Basisstation ausgeben, und entsprechend Anmeldevorgänge auswerten.

Allerdings hat sich mit der Einführung von Hotspot 2.0-fähigen WLAN-Zugangsnetzen die Problematik der Preisgabe von IMSI-Daten deutlich verschärft. In einem Hotspot 2.0-fähigen WLAN können sich Mobilfunkgeräte mit der (U)SIM-Karte authentifizieren und über eine WPA2 abgesicherte Verbindung sicher surfen. Eine umständliche Aktivierung und Nutzung von Kennwörtern entfällt. Die Authentifizierung und Schlüsselaushandlung findet wie bei WPA2-Enterprise über EAP-Protokolle statt. Dies kann je nach Mobilfunkgeneration sowohl über das EAP-SIM (RFC4186)- oder EAP-AKA (RFC4187)-Protokoll stattfinden. Generell ist dies zu begrüßen, da dieses Verfahren sowohl nutzerfreundlich ist als auch den stärksten Schutz durch EAP/802.1X-Verfahren anbietet.

Allerdings unterstützen sowohl EAP-SIM als auch EAP-AKA eine direkte Verwendung der IMSI als Identität, die dann im Klartext über die Luftschnittstelle ungeschützt übertragen wird. Anders als im Unternehmensumfeld üblich, schützen die SIM-basierten Hotspot 2.0-Authentifizierungsverfahren die Identitäten nicht durch innere per TLS gesicherte Authentifizierungsprotokolle.

Durch diese Eigenschaft können Angreifer über Rogue Access Points mit der SSID eines Hotspot 2.0 WLAN-Netzes bei Anmeldeversuchen der Smartphones die MAC-Adresse gleich eine Verknüpfung mit der IMSI erstellen. Dieser Angriff ist gleichwertig zu einem IMSI Catcher und kann ohne Hardwareaufwand von einem WLAN-fähigen Laptop ohne große Expertise durchgeführt werden, beispielsweise durch Verwendung von modifizierten Soft-AP auf Basis frei verfügbarer Softwaretools (beispielsweise hostapd-wpe).

Als Schutzmaßnahme gegen die Preisgabe von IMSI sieht der 3GPP-Mobilfunkstandard optional die Verwendung von Pseudonymen vor, die als kryptografische Transformation der IMSI mit einem geheimen Schlüssel generiert werden. Der Schlüssel kann in regelmäßigen Intervallen rotiert werden, um die Verwendung von statischen Pseudonymen zu vermeiden.

Doch in der Praxis gibt es hier ein großes Problem, selbst wenn dieses Verfahren unterstützt wird. Das Protokoll sieht eine Zuweisung der IMSI-Pseudonyme In-band über WLAN vor, inklusive der Erstzuweisung. Das heißt, bis zur ersten erfolgreichen Anmeldung an einem EAP-SIM/EAP-AKA-fähigen Hotspot des Netzbetreibers kann nur die IMSI benutzt werden. Und dies ist zur Zeit für die große Mehrheit der von Netzbetreibern ausgegebenen Smartphones der Fall, die standardmäßig die Hotspot 2.0-SSID des Netzbetreibers vorkonfiguriert haben, aber noch niemals mit dem Hotspot verbunden waren.

Nach Untersuchungen der SySS GmbH sind derzeit in Deutschland Mobilfunkkunden der Deutschen Telekom AG betroffen, deren Smartphones vorkonfiguriert Verbindungen zum Hotspot 2.0 WLAN-Funknetz mit der SSID "Telekom_SIM" aufbauen möchten. Als Schutzmaßnahme gegen den Wi-Fi IMSI Catcher hilft derzeit nur, die vorkonfigurierte Hotspot SSID des eigenen Mobilfunkbetreibers aus der Liste der bekannten Netze zu löschen.

Ausblick

Die obige Diskussion zeigt, dass die Always-on-Verwendung von WLAN in personalisierten Endgeräten wie Smartphones immer mit dem Risiko einhergeht, dass dritte Personen Präsenz- und Lokalisierungsinformationen ableiten, die über längere Zeiträume betrachtet die Erstellung von detaillierten Bewegungsprofilen ermöglichen. Dies wird begünstigt durch eine immer großflächigere Verfügbarkeit und Nutzung von öffentlichen Hotspots für Smartphones & Co.

Präsenzinformationen von WLAN-Endgeräten können aus ganz unterschiedlicher Motivation interessant für Angreifer sein. Wann und wo befindet sich das Personal des Sicherheitsheitsdienstes auf dem Campus? Wie häufig besucht Kunde A meinen Laden und vor welchem Regal hält er sich am längsten auf? Welche Mitarbeiter sind im Unternehmen tätig und tauchen mittags im ungeschützten Hotspot des Coffeeshops um die Ecke auf?

Letztlich muss sich auch jeder Betreiber von WLAN-Netzen mit der Gefahr auseinandersetzen, dass er in das Visier von Angreifern gerät, die ganz gezielt die WLAN-Infrastruktur von Access Points und Wireless Controllern angreifen, um sie für eine unautorisierte Überwachung von Betriebsvorgängen innerhalb des Campus zu missbrauchen. In vielen Organisationen gehört der Betrieb der WLAN-Infrastruktur nicht zum Kerngeschäft der IT, sodass selbst grundlegende Schutzmaßnahmen wie die Abtrennung von WLAN-Netzen vom restlichen LAN nicht umgesetzt werden und auch Management- und Monitoringschnittstellen erreichbar und angreifbar bleiben. 

Um sich als Privatperson gegen Identifizierung und Tracking-Angriffe besser zu schützen, ist generell ein bewusster Umgang mit dem WLAN empfehlenswert: Aktivieren, nur falls wirklich benötigt, aber im Regelfall unterwegs ausschalten. Eine regelmäßige Pflege der Liste von bekannten WLAN-Netzwerken durchführen und nicht benötigte WLANs löschen. Dies gilt insbesondere für vorprovisionierte, aber ungenutzte Hotspot 2.0-Netzwerke der großen Mobilfunkbetreiber, um nicht ungewollt seine IMSI an die Umgebung zu funken. Und beim nächsten Besuch der Shoppingmall einfach mal hinterfragen, ob man sich durch die Nutzung des kostenfreien Kunden-WLANs wirklich auf Schritt und Tritt auf seinem Einkaufstrip verfolgen lassen möchte.         

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer