ZRT-Protokoll macht VoIP-Anwendungen unsicher
Titelbild: © Gajus/Shutterstock.com Posted on von Netze/All-IP | Sicherheit

Schlagworte: , ,

ZRT-Protokoll macht VoIP-Anwendungen unsicher

Das ZRT-Verschlüsselungsprotokoll steckt in vielen VoIP-Anwendungen und soll dort für sichere und verschlüsselte Telefonate sorgen. Allerdings weist es Schwachstellen auf, die das Telefonieren am Ende unsicherer machen können. Dies haben Forscher der TU Braunschweig herausgefunden.

Wie das IT-Nachrichtenportal Golem.de berichtet, weisen viele populäre VoIP-Anwendungen und mobile Apps erhebliche Sicherheitslücken auf. Sie könnten dazu führen, dass sich Telefonate vergleichsweise einfach abhören oder umleiten lassen. Ursache dafür sei das in diesen Anwendungen implementierte Verschlüsselungsprotokoll ZRT in Verbindung mit Design-Schwächen der jeweiligen Anwendung. Aufgedeckt hat diese Sicherheitsrisiken ein Forscherteam der TU Braunschweig um den Sicherheitsforscher und Android-Entwickler Dominik Schürmann.

VoIP-Verschlüsselung seit 2011

Das ZRT-Protokoll (ZRTP, Zimmermann Real-time Transport Protocol) wurde vom Sicherheitsforscher Phil Zimmermann entwickelt und sorgt für verschlüsselte Verbindungen, die direkt zwischen zwei Teilnehmern aufgebaut werden. Zusätzliche Sicherheitsfunktionen gewährleisten, dass die Verbindung zwischen zwei Endstellen vertrauenswürdig ist. Das Protokoll dient seit 2011 als Basis für zahlreiche VoIP-Anwendungen, darunter das von Zimmermann mitentwickelte Silent Phone von Silent Circle.

Mehrere VoIP-Produkte betroffen

Neben Silent Phone nahmen Dominik Schürmann und seine Kollegen unter anderem die Software-Produkte Signal, Linphone Android, Jitsi, CSipSimple und Acrobits Softphone unter die Lupe. In Linphone Android entdeckten die Forscher eine Schwachstelle, welche die Entwickler in der Version 3.2.0 umgehend behoben. Ansonsten brachte Schürmanns Team in erster Linie Schwächen in der Umsetzung der Sicherheitsfunktionen des ZRT-Protokolls selbst zum Vorschein. Die Ergebnisse der Prüfungen hat Schürmann auf seinem Blog „Sufficiently Secure“ veröffentlicht. Eine detaillierte Testbeschreibung bietet eine Publikation beim Institut für Betriebssysteme und Rechnerverbund der TU Braunschweig.

Ignorierte Warnungen

In Acrobits Softphone, CSipSimple, Jitsi und Linphone werden Telefonate auch dann weiter aufrechterhalten, wenn ein Verbindungsaufbau über das ZRT-Protokoll nicht zustande kommt oder aussetzt. Zwar würden die Nutzer in den meisten Fällen gewarnt. Doch gehen die Forscher davon aus, dass nur versierte Nutzer diese Warnungen richtig einschätzen können. Zum Teil würden die Warnungen während des Telefonats komplett übersehen. Die Wissenschaftler schlagen deshalb vor, statt nur Warnungen anzuzeigen, die jeweilige Verbindung ganz zu unterbrechen oder Warnungen deutlicher darzustellen – zum Beispiel über den ganzen Bildschirm hinweg. Weitere Empfehlungen gibt das Braunschweiger Forscherteam in seiner ausführlichen Publikation zum Thema.

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.