Naast de encryptie van GSM-gesprekken is nu ook de code van DECT telefoons gekraakt, zo hebben onderzoekers tijdens het Chaos Communication Congress (CCC) in Berlijn laten weten. Volgens onderzoekers van deDECTed.org is het mogelijk om de gebruikte sleutel aan de hand van het onderschepte dataverkeer te achterhalen. Vorig jaar lieten de hackers al zien dat er kwetsbaarheden in de Digital Enhanced Cordless Telecommunication (DECT) standaard aanwezig zijn, waardoor gesprekken zijn af te luisteren. In sommige gevallen wordt namelijk geen encryptie gebruikt. Vaak authenticeert de telefoon zichzelf bij het basisstation, net zoals dit bij de GSM-standaard gebeurt. Bij andere apparaten verzorgt het basisstation de authenticatie, maar zonder versleuteling. In al deze gevallen konden de hackers actieve gesprekken opnemen.

Slordig
Het was de hackers nog niet gelukt om een succesvolle aanval op de geheime DECT Standard Cipher (DSC) uit te voeren, maar daar is sinds de laatste editie van CCC verandering in gekomen. Dat betekent dat het niet meer veilig is om via DECT te bellen, ook al heeft de leverancier de encryptie features op de juiste manier geïmplementeerd. Volgens Karsten Nohl, die eerder deze week de kraak van de GSM encryptie demonstreerde, zijn de engineers slordig te werk gegaan bij het implementeren van de encryptie code.

Daarbij is gekozen om bepaalde beveiligingsmaatregelen te laten schieten om de versleuteling sneller te laten plaatsvinden. Dat de DECT encryptie te kraken was had Nohl al door toen hij ontdekte dat er een eigen cryptografische standaard werd gebruikt. De werking daarvan werd geheim gehouden, wat volgens de onderzoeker bijna een garantie is om eenvoudig te kraken. Tijdens het onderzoek werden inderdaad veel ontwerpfouten aangetroffen.

Upgraden
Voor de presentatie waarschuwden de onderzoekers het DECT forum over hun bevindingen. De alliantie achter de standaard erkent de beveiligingslekken en wijst naar een nieuwe open cryptografische standaard die het samen met het European Telecommunications Standards Institute (ETSI) ontwikkelt. Een update voor DECT zou in de lente van 2010 moeten verschijnen. Opmerkelijk is dat het DECT forum samen met de hackers gaat overleggen hoe ze de beveiliging kunnen verbeteren. Tot die tijd adviseert het deDECTed team om alleen handsets te kopen waarvan de firmware handmatig is te upgraden. Ook is het verstandig om gesprekken met draadloze telefoons kort te houden en stiltes te voorkomen.