Tabellenansicht

AV-IDBezeichnungBeschreibungTags
A01A3/A8 Implementierung

Der Algorithmus zur Authentifizierung A3 sowie der Algorithmus A8 zur Schlüsselerzeugung werden vom Mobilfunkprovider implementiert. 

A3 A8 SIM Cloning SIM-Karte
B01SMS-Authentifizierung

Eine Identifikation ist nur durch die Telefonnummer des Absenders möglich. So können SMS unter falschem Namen versendet werden (Phishing/Spoofing). 

SMS
A02IMSI Catcher (fake Basestation)

Der eigentliche Angriffsvektor entsteht durch das fehlende Authentifizieren der Basisstation gegenüber dem Smartphone (ME). Der Catcher nutzt aber noch weitere Schwachstellen aus (siehe AV-A) um abgehende Anrufe abhören zu können. Je nach Entwicklungsaufwand können Catcher auch eingehende Telefonate Abhören. Eine weitere Entwicklungsstufe stellen die Semi-Aktiven Geräte da. 

Das Problem bei GSM/CSD ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher [1],[2] ein „Man In The Middle“-Angriff durchgeführt werden.

 

fake base station GPRS GSM IMSI-Catcher MITM Stingray virtuelle basisstation
E01Modem / Baseband Hack

Angriffsmethoden auf den Baseband-Prozessor werden in den letzten Jahren immer häufiger veröffentlicht. Zunächst muss eine Verbindung zum Smartpone hergestellt werden. Hierfür gibt es bekannte Lösungen, die bereits im Abschnitt „IMSI-Catcher“ beschrieben wurden. Damit kann der Angreifer auch aus großer Entfernung auf das Smartphone zugreifen.

Baseband FOTA Modem Radio RF-Frontend
C012G Zugangs- und Kern-Netz

Daten sind im Kern-Netz nicht verschlüsselt.

EDGE GPRS GSM Kern-Netz Zugangs-Netz
E02Roving Bug

Die als „Roving-Bug“ bekannte Angriffsmethode wurde im Jahre 2006 das erste Mal offiziell eingesetzt[1]. Hierbei wird das Mikrofon des Mobiltelefons aktiviert und die Audiosignale an einen Server übertragen. 

AV-Kombination Baseband FOTA roving bug
D01Unlawful-Interception

„Unlawful-Interception“ - der Missbrauch durch unbefugte Dritte. 

Lawful Interception
F01COO Ortung

Die vom Mobilfunknetz initiierte Ortung dient unter anderem zur Messung der Signalqualität am aktuellen Standort des Smartphones.

Cell-ID Ortung
A03IMSI/LAI im Klartext

Das Smartphone sendet, z.B. bei der ersten Verbindungsaufnahme die unverschlüsselte IMSI der SIM-Karte und die LAI (Location Area Identifer) der letzten Verbindung mit einer Basisstation.

IMSI LAI
A04Störfunk/Jammer

Durch das Stören der UMTS-Frequenzbänder wir der wechsel auf GSM Standard erzwungen. (Teilfunktion bei Semi-Aktiven Abhöranlagen)

Es ist aber auch ein kompletter „Denial of Service“ aller Funkverbindungen möglich.

Jammer
A05MITM bei Femto-Zellen

Eine Femto-Zelle ist eine NodeB (UMTS), die für den privaten sowie auch geschäftlichen Einsatz an den Endkunden abgegeben werden. Diese Funkzelle wird an einem Internetzugang betrieben und stellt für jeden Nutzer (im Umkreis) eine Verbindung zum Mobilfunknetz her.

MITM UMTS
A06Verschlüsselung A5 (cs)

Verschlüsselung der Sprachverbindung (A5/1, A5/2 oder A5/3, circuit switched /cs) zwischen Smartphone und BTS (Basisstation).

A5/x GSM
A07Keine Warnung bei unverschlüsselter 2G Verbindung

Fehlende Warnung (Cipher Indicator) auf dem Display, wenn unverschlüsselt Telefoniert wird. Das Sicherheitsrisiko, dass unter AV-A02 (Fehlende Auth. der Basisstation) beschrieben ist, könnte durch einen Cipher Indicator wie er laut Spezifikation vorgesehen ist entschärft werden. 

A5/x Cipher Indicator EDGE GPRS GSM
A08UMTS Integritätsschutz

Veränderungen an den Daten werden vom Empfänger nicht erkannt, wenn der Integritätsschutz deaktiviert ist. 

UMTS
A09Hand-Over

Die sich durch die geforderte Abwärtskompatibilität ergebenden Kombinationen von Hand-Over Prozeduren zwischen den unterschiedlichen Architekturen 2G bis 4G in den jeweiligen Ausbaustufen wirken sich kontraproduktiv auf die Sicherheit von UMTS aus. 

BSC BTS MSC
A10Fall_Back to GSM

Ein automatischer „Fall-Back to Circuit Switched“  (beziehungsweise „Fall-Back to GSM“) ist für UTMS und LTE vorgesehen. 

GSM UMTS
A11Verschlüsselung GEA/x (ps)

Passives Abhören auf der Luftschnittstelle ist auch bei der Datenverbindung möglich. (ps = paketvermittelt)
GEA/1, GEA/2, GEA/3

EDGE GEA/x GPRS
A12Unverschlüsselte Datenverbindung

Bei der Datenverbindung (ps) wird zwischen dem Endgerät  und der SGSN im Kern-Netz verschlüsselt. Nicht zwischen BTS und Endgerät wie es bei einer cs-Verbindung der Fall ist. 

EDGE GRPS SGSN UMTS
B02SMS im Klartext

Keine Verschlüsselung der SMS möglich, ohne zusätzliche Dienste in Anspruch zu nehmen. Der Versand zum und von dem SMS-Center, sowie die Speicherung erfolgt unverschlüsselt. 

SMS SMSC SS7
B03SMSC Zustellung

Werden die Kurznachrichten über einen Gateway an eine E-Mail Adresse oder eine Web-Schnittstelle weitergeleitet, können die unverschlüsselten Daten ebenfalls mitgelesen werden.

SMS SMSC
B04SMS MO-MTEine SMS kann auch direkt, also ohne Service-Center von einem Endgerät (MO) zum anderen (MT) gesendet werden. Ein Beispiel aus dem Jahre 2018 - "Hawaiian Missile Alert in January 2018" - https://en.wikipedia.org/wiki/2018_Hawaii_false_missile_alert Weitere Details finden Sie hier: https://comsecuris.com/blog/posts/theres_life_in_the_old_dog_yet_tearing_new_holes_into_inteliphone_cellular_modems/Cell-Broadcast SMS
B05WAP-Push SMS

Durch das Wireless Application Protokoll (WAP) kann in einer SMS auch eine „Uniform Resource Identifier“ (URI) versendet werden. 

SMS WAP-Push
B06Flash SMS

Meldung wird sofort auf dem Display angezeigt und anschließend nicht gespeichert. Zum Beispiel um das aktuelle Guthaben einer Pre-Paid Karte anzuzeigen.

PDU SMS
B07Stille SMS

Eine Stille SMS (Silent SMS, Stealth-SMS) ist für den Empfänger nicht zu erkennen. (nicht auf dem Display angezeigt und auch kein akustisches Signal). Wie bei einem Ping auf eine Netzwerkadresse, antwortet das mobile Endgerät mit einer Quittung. Zur Ortung eines Smartphones benötigt man jedoch die dabei angefallenen Verbindungsdaten.

Diese Methode wird sehr häufig von Behörden genutzt um den Aufenthaltsort von Personen fest zu stellen. Es können aber auch "Denial of Service" (DoS) Angriffe durchgeführt werden[1].

PDU Silent SMS SMS Stille SMS
B08SMS Injection

SMS-Injection wurde in einer Sicherheitsanalyse von  Collin Mulliner und Charlie Miller[1] beschrieben. Sie versendeten eine SMS, von einem Endgerät, direkt an das Endgerät. 

AV-Kombination SMS
B09SMS Botnetz

Ein anderes Szenario, das verschiedenen Schwachstellen kombiniert, wird von Georgia Weidman als „Bot-Netzwerk für Smartphones“[1] beschrieben. 

AV-Kombination SMS
B10USSD, GSM und MMI Codes

Ein Sicherheitsproblem entsteht zum Beispiel, wenn dieser Code ohne Wissen des Nutzers ausgeführt wird. 

GSM-Code MMI-Code USSD
B11MMS Authentifizierung

Auch beim MMS-Dienst authentifizieren sich Absender und MMS-Center nicht. [1,2]

MMS
B13MMS im Klartext

Keine Verschlüsselung vorgesehen. [1,2]

MMS
B12WAP-Gateway

Informationen über das Smartphone können am WAP-Gateway abgefragt werden. 

WAP
B14Entladen des Akkus

Wird durch eine Kombination aus verschiedenen Angriffs-Vektoren auf zwei Ebenen realisiert. [1]

MMS WAP WAP-Push
B15Synchronisation PIM-Daten

Bei der Synchronisation von E-Mail-Konten, Kalendern, Kontakten und anderen Dateien könne Sicherheitsrisiken bestehen.

E-Mail MDM PIM-Daten
C023G Zugangs- und Kern-Netz

Nutz-, Signalisierungs- und Managementdaten müssen geschützt werden, um die Sicherheit bei UMTS zu Realisieren.

Kern-Netz UMTS Zugangs-Netz
C03Zugriff auf Kern-Netz

Zugriff durch Drittanbieter auf Komponenten des Kern-Netzes der Provider. Angriffe auf HLR, VLR oder Smartphones denkbar. 
Darunter zählt auch der Angriff über das SS7 Protokoll das hier näher beschrieben wird: ss7-protokolle

APN HLR Kern-Netz VLR
C04Caller ID-Spoofing

Anzeigen einer falschen Telefonnummer auf dem Display des Angerufenen.

Caller-ID CLIP ÎSDN VoIP
E03SIM Cloning

Der Identity Key konnte bei alten Smartcards mit Comp-128-Implementierungen berechnet werden, wenn man im Besitz der Smartcard ist.
Durch eine fehlerhafte Implementierungen konnten Karten kopiert werden. 

 

Quellen:
C't Artikel: DES-Hack exponiert Millionen SIM-Karten http://www.heise.de/security/artikel/DES-Hack-exponiert-Millionen-SIM-Karten-1920898.html

Karsten Nohl- Rooting Sim Cards: 
https://srlabs.de/rooting-sim-cards/

Jährlich werden 2 milliarden encryption keys gestohlen, die bei SIM Karten verwendet werden. Laut einem Artikel im "Interceptor":
https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

MITM SIM-Karte
D03Zero-Day-Exploit

Sie werden von bestimmten Firmen zum defensiven Schutz sowie zum offensiven Einsatz angeboten.

Zero-Day-Exploit
D04LEA-Domain

Die LEA-Domain kann von außen angreifbar sein. 

Die Verschlüsselung kann hier aufgebrochen werden - siehe eTLS Standard

LEA
D05Klein Declaration & PRISM

Neben den ETSI-Spezifikationen zur Lawful Interception, ist eine andere Herangehensweise unter dem Begriff „Klein Declaration“ (oder auch PRISM) bekannt. 
Die Bezeichnung ist nach dem AT&T Ingenieur Mark Klein benannt, der als erster die Überwachungstechniken der NSA outete, indem er geheime Dokumente eines „Spy-Rooms“ Veröffentlichte und vor Gericht eine eidesstattliche Erklärung (Declaration) abgab. 
2013 wurde das Projekt PRISM bekannt, dass seit 2005 vom NSA betrieben wird und zur Speicherung und Auswertung von möglichst vielen Informationen dient. 

Lawful Interception PRISM
D06Key Recovery

Das letzte Hindernis für die LI könnte die Verschlüsselung durch die Kommunikationspartner an den Endpunkten darstellen, wie es zum Beispiel bei Secure-VoIP oder beim Versand von E-Mails der Fall sein kann. 

Lawful Interception Skype
F02Abfragen der SSID

Eine weitere Option ist die Standortbestimmung durch eine Abfrage der WLAN-Access Points, in der Umgebung des Smartphones. Durch das Auslesen der letzten SSIDs oder der W-LAN Konfigurationsdaten, könnten ebenfalls Rückschlüsse zu wahrscheinlichen Aufenthaltsorten getroffen werden.

Ortung SSID
F04“Location Leaks” im SS7-Protokoll

Zur Ortung kann zum Beispiel auch eine Stille SMS eingesetzt werden, wie es unter AV-B07 beschrieben ist. Um jedoch die Verbindungsdaten auswerten zu können, muss ein weiterer Zugriffspunkt direkt beim Provider bestehen. Damit könnte die aktuelle Cell-ID ermittelt werden, bei der das Smartphone gerade angemeldet ist.

Dies ist  über das SS7 Protokoll möglich. (Signalling System No.7)  

GSM LTE Ortung SMS SS7 Stealth SMS Stille SMS
F05IP Geo-Location

Auch wenn die Funktionen zur Ortung, wie z.B. GPS deaktiviert sind, kann es immer noch anhand seiner IP geografisch geortet werden. 

IP Skype
E04Auslesen der SIM-Karte

Kontaktdaten wie Telefonnummern (inkl. angerufene Nummern), die letzte Location Area Identifier (LAI) und eventuell auch die SMS Nachrichten, sind auf der SIM-Karte gespeichert.

SIM-Karte STK
E05OTA (Over The Air)

Das sogenannte „Over-the-Air“–Verfahren (OTA) ermöglicht das  Konfigurieren der GPRS, WAP, E-Mail oder MMS Einstellungen.

Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels gesendeter SMS direkt (ohne Nachfrage auf dem Display) ausgeführt werden. Veröffentlicht wurde die Sicherheitslücke von Adaptive Mobile Security und ist unter dem Namen “Simjacker” bekannt.

OTA SIM-Karte
E07Bluetooth Datenverschlüsselung

Die Datenverschlüsselung erfolgt mit einem Stromchiffre-Verfahren. Von den 128 Bit werden in der Praxis aber nur maximal 84 Bit genutzt. Zusätzlich überträgt Bluetooth mit dem Frequenzspreizverfahren „Frequency Hopping“, um durch ständiges Ändern der Sendefrequenz ein passives Mithören zu erschweren. 

Bei einer Ad-Hoc-Verbindung zwischen 2 Smartphones erfolgt zuerst das sogenannte „Pairing“, bei dem mittels Challenge-Response-Verfahren ein 128 Bit langer Schlüssel festgelegt wird. 

Bluetooth
E08Bluetooth-Interface

Über das Bluetooth-Interface können Anrufe an ein Head-Set, eine Fernsprechanlage oder einen Funkverstärker übertragen werden. 

Bluetooth
E09Cross-Service Attack

Der Zugriff auf Schnittstellen über Funktionen von anderen Diensten und Schnittstellen. Zum Beispiel aus dem Mobilfunknetz auf das W-LAN oder GPS  Interface. Auch der Webbrowser kann direkt auf Sensoren und Schnittstellen zugreifen. Web-Frameworks wie Phone Gap sind mittlerweile dazu fähig, native Funktionen zu nutzen die sonst nur „echten“ APPs vorbehalten war.

Ortung WLAN
E10NFC (& RFID) Sicherheitsrisiken

Der RFID-Chip [1] besteht aus einer Antenne, einem Controller und einem wieder beschreibbaren Speicher. Das Bauteil kann als passiver Tag sowie als Tag-Reader betrieben werden. Sicherheitsrisiken entstehen zum Beispiel, wenn sich die Kreditkartendaten auf diesem Chip befinden, was eigentlich als hauptsächlicher Einsatzzweck gedacht ist.

NFC RFID
E11Kamera / QR-Code

Der QR Code [1] kann bis zu 2953 Byte Daten enthalten, die von der verwendeten Anwendung nach dem Einscannen in einen lesbaren Text umgewandelt wird.

QR-Code URI
E06FOTA (Firmware-Over-The-Air)

Bei “Firmware Over The Air” (FOTA) wird eine SMS als WAP-Push gesendet, um ein Firmware-Update auszuliefern.

Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels gesendeter SMS direkt (ohne Nachfrage auf dem Display) ausgeführt werden. Veröffentlicht wurde die Sicherheitslücke von Adaptive Mobile Security und ist unter dem Namen "Simjacker" bekannt. 

FOTA SIM-Karte WAP-Push
F06Assisted GPS (A-GPS)

Um den Standort des ME möglichst schnell und genau mittels GPS zu ermitteln, benötigen Smartphones die Unterstützung (assistance) durch den Mobilfunk Provider oder einem Positioning Server. 

A-GPS Baseband BTS GPS Ortung
E13Sensoren

Bewegungssensor wird zum Mikrofon

Das Gyroskop im Smartphone kann Frequenzbereiche im hörbaren Bereich empfangen. Somit kann der Bewegungssensor theoretisch (und oft auch praktisch) als Mikrofon benutzt werden.

Ein weiterer Angriff: PIN abgreifen mittels Sensoren am Smartphone [2]

Android Gyroskop mikrofon
D02Mobile Abhöranlagen

Die Branche der LI-Hersteller bietet auch eine Vielzahl von mobilen Abhöranlagen wie den IMSI-Catcher. Diese Geräte befinden sich auch in privaten Händen und können ohne Wissen des Netz-Betreibers eingesetzt werden.

Die Sicherheitslücken bei SS7 und der jährliche Diebstahl von 2 milliarden encryption keys bei Gemalto, ermöglichen jetzt auch den Einsatz von UMTS- und LTE-Catcher (fake UMTS & LTE towers). 

fake base station IMSI-Catcher LTE Catcher UMTS Catcher virtuelle basisstation
C06SS7 Protokolle

Die SS7 Protokolle und Signalisierungen dienen zur Vermittlung und Routing im Mobilfunknetz sowie bei der kabelgebundenen Kommunikation über ISDN oder VoIP.  Grundsätzlich besitzen die Signalisierungen beim Rufaufbau keinerlei Sicherheitsmechanismen und keine kryptische Verfahren, um die Datenintegrität und Vertraulichkeit zu schützen. SS7 vermittelt auch das Authentifizieren, Autorisieren und die Abrechnungsdaten, wenn sich ein Nutzer mit seinem Smartphone beziehungsweise mit seiner SIM-Karte an einer Basisstation eines ausländischen Roaming Partners anmeldet.

LTE SS7 UMTS VoIP
F07Lokalisierung über den Stromverbrauch

Einem Forscherteam ist es gelungen ein Android Smartphone nur über den Verbrauch des Akkus zu Orten. 

akku Android lokalisierung Ortung
C05Early Media Stream

"Early Media Stream", das unter anderem zur Preisansage vor einem Verbindungsaufbau dient, kann dazu ausgenutzt werden, kostenlos zu Telefonieren.

B16WAP Billing

Beim Aufrufen einer WAP-Seite (Wireless Application Protocol) sendet das Smartphone seine MSISDN (Mobile Subscriber Integrated Services Digital Network Number) and den Betreiber dieser Webseite.(auch WAP Billing genannt)

Dieser kann die Information nutzen um über den Mobilfunkprovider an die Telefonnummer zu kommen. 
Des Weiteren kann er dann beim Provider ein angeblich verkauftes Abo in Rechnung stellen. 

WAP
A13WiFi/WLAN

Eine mit WEP geschützte Verbindung ist innerhalb weniger Sekunden entschlüsselt. Aber auch WPA/WPA2 ist nicht mehr sicher. Sogar auf den neuen Standard WPA3 gibt es erste Angriffsszenarien. 

WLAN
F03Lokalisation durch Unique-IDs

Die Ortung kann durch alle eindeutig zuweisbare Nummern, wie zum Beispiel die IMSI oder die IMEI erfolgen. Dieser Angriff findet in der unmittelbaren Umgebung  des Smartphones statt und benötigt keine Infrastruktur der Providers.

Im Gegensatz zu AV-F04 wird nicht die aktuelle Cell-ID ermittelt, sondern direkt das Endgerät geortet.

(Die WLAN-, und Bluetooth-Schnittstelle am Smartphone kann ebenfalls eindeutig Identifiziert werden.) 

 
Bluetooth IMEI IMSI IP MEID Ortung WLAN
C07Diameter

Diameter ist ein Authentifizierungs-, Autorisierungs- und Accountingprotokoll und soll als Nachfolger von RADIUS bzw. SS7 dienen. 

LTE
A14LTE Protokolle und SchwachstellenImmer mehr Schwachstellen im LTE-Protokoll werden bekannt. Diese ermöglichen sich als ein anderer Nutzer oder auch als eine LTE Basisstation auszugeben. Ähnliche Schwachstellen gibt es schon immer in 2G (GSM) Netzen. Aber auch das moderne LTE / 4G-Netz hat einige Probleme auf Protokollebene. 4G 5G LTE

 

Smartphone Security