SIM Cloning


AV: E03

Veröffentlicht: 18.02.2013 Aktualisiert: 20.02.2015

Der Identity Key konnte bei alten Smartcards mit Comp-128-Implementierungen berechnet werden, wenn man im Besitz der Smartcard ist.
Durch eine fehlerhafte Implementierungen konnten Karten kopiert werden. 

 

Quellen:
C’t Artikel: DES-Hack exponiert Millionen SIM-Karten http://www.heise.de/security/artikel/DES-Hack-exponiert-Millionen-SIM-Karten-1920898.html

Karsten Nohl- Rooting Sim Cards: 
https://srlabs.de/rooting-sim-cards/

Jährlich werden 2 milliarden encryption keys gestohlen, die bei SIM Karten verwendet werden. Laut einem Artikel im “Interceptor”:
https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

Keine MITRE Quellen vorhanden.



Details:

Mittlerweile gibt es COMP-128 v2 und v3, die als sichere Methoden gelten.[1,2]
IBM konnte mit einem speziellen Verfahren (Differential Power Analysis) SIM-Karten kopieren.

Bei dem schon erwähnten „Dynamic SIM-Cloning“ erlangt der MITM-Angreifer auch Zugriff auf eingehende Telefonate. Der IMSI-Attach Vorgang wird hierbei vom „gecatchten“ ME kommend direkt an die „echte“ BTS weitervermittelt. Auch die zurückgesendete Zufallszahl RAND wird wieder direkt weitergereicht, damit die SIM-Karte den gültigen Wert für SRES berechnen kann. Erst wenn dieser Wert der dynamischen SIM-Karte bekannt ist, kann sie die Anmelde-Prozedur an der BTS erfolgreich abschließen. Damit ist der Angreifer dann unter einer falschen Identität am Mobilfunknetz angemeldet und kann auf fremde Kosten Telefonate initiieren. Die zeitliche Verzögerung der IMSI-Attach Prozedur löst normalerweise einen „Timeout“ der „dynamischen“ SIM-Karte aus. 

In der Master Thesis von Adam Kostrzewa[3] wurde dieser Schutzmechanismus umgangen, indem über die Bluetooth Schnittstelle mit der SIM-Karte kommuniziert wurde. 


Quellen/Links:

[1] Spezifikation: ETSI TS 100 977, ”Specification of the Subscriber Identity Module – Mobile Equipment (SIM-ME) Interface”

[2] Spezifikation: ETSI TS 102 671, „Smart Cards: Machine to Machine UICC; Physical and logical characteristics (Release 9)”

[3] Adam Kostrewa „Development of a man in the middle attack on the GSM Um-Interface“, Master Thesis, Technische Universität Berlin 2011










Weitere Vektoren aus dem Bereich

WiFi/WLAN

Eine mit WEP geschützte Verbindung ist innerhalb weniger Sekunden entschlüsselt. Aber auch WPA/WPA2 ist nicht mehr sicher. Sogar auf den neuen Standard WPA3 gibt es erste Angriffsszenarien. 

Sensoren

Bewegungssensor wird zum Mikrofon Das Gyroskop im Smartphone kann Frequenzbereiche im hörbaren Bereich empfangen. Somit kann der Bewegungssensor theoretisch (und oft auch praktisch) als Mikrofon benutzt werden. Ein weiterer Angriff:

FOTA (Firmware-Over-The-Air)

Bei “Firmware Over The Air” (FOTA) wird eine SMS als WAP-Push gesendet, um ein Firmware-Update auszuliefern. Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels

Kamera / QR-Code

Der QR Code [1] kann bis zu 2953 Byte Daten enthalten, die von der verwendeten Anwendung nach dem Einscannen in einen lesbaren Text umgewandelt wird.