AV-E05

OTA (Over The Air)

Das sogenannte „Over-the-Air“–Verfahren (OTA) ermöglicht das  Konfigurieren der GPRS, WAP, E-Mail oder MMS Einstellungen.

Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels gesendeter SMS direkt (ohne Nachfrage auf dem Display) ausgeführt werden. Veröffentlicht wurde die Sicherheitslücke von Adaptive Mobile Security und ist unter dem Namen “Simjacker” bekannt.

Details:

Wie schon bei SMS und MMS erwähnt kann unbemerkt eine SMS empfangen werden, die vom Empfangsteil (Baseband) direkt an die SIM-Karte weitergereicht wird. Auch die Installation von Java-Code auf der SIM-Karte ist möglich. 

Karsten Nohl beschreibt eine Sicherheitslücke, die bei vielen SIM Karten durch eine unzureichende digitale Signatur (DES) möglich ist. Damit können „fremde“ Daten eingespielt werden die nicht vom Mobilfunkprovider stammen. Der Benutzer sieht von diesem Vorgang nichts auf seinem Display [1].





Erkennung:

Durch die Analyse der PDU-Messages (siehe Basics/Mobilfunkdienste) können die Angriffsvektoren E04, E05 und E06 erkannt werden. Der Unterschied zu den AVs im Abschnitt B besteht in dem „Envelope-Mode“, durch den eine SMS direkt (transparent) an die SIM-Karte weitergeleitet wird. 

Drei Bedingungen müssen hierzu erfüllt sein[2]:

  • TP-PID = 0x7F
  • TP-DCS = Class 2 8-Bit
  • SIM Service Tabelle muss den Eintrag „Data Download via SMS Point-to-Point” enthalten und der Dienst muss aktiviert sein. Ansonsten wird die SMS im Bereich des EFSMS gespeichert.
  • Bei SMS Cell Broadcast muss der Service „Data Download via SMS-CB“ in der Service Table der SIM-Karte aktiviert und der „Message Identifier“ in der EFCBMID eingetragen sein, dann wird Cell Broadcast direkt an die SIM weitergeleitet, ohne auf dem Display angezeigt zu werden.

Laut ETSI GSM 3.40 Spezifikation Abschnitt 9.2. kann über den Short Message Transport Layer (SM-TL) jede eintreffende Nachricht vollständig empfangen werden.

Zur Erkennung an der SIM-Karten-Schnittstelle könnte ein als „Turbo-SIM“ oder auch „Proxy-SIM“ bekanntes Bauteil eingesetzt werden, dass als „Sniffer“ auch den Datenverkehr in umgekehrter Richtung, also von der SIM zum Modem, mitlesen kann. Die SIM-Karte benutzt sogenannte proaktive Mechanismen[3], die es ihr ermöglichen selbstständig die Kontrolle über das Smartphone zu erlangen. Die Kommandos der SIM-Karte können ebenfalls erkannt und angezeigt werden. In Kapitel 5 wird näher darauf eingegangen.

Als Gegenmaßnahme:
Die OTA-Konfiguration sollte als Backup gespeichert werden, damit die Veränderungen im Nachhinein erkennbar sind. Besser ist eine eigene MDM-Lösung, um die Administration zu ermöglichen. Dabei gibt es je nach Betriebssystem unterschiedliche Lösungen, die im zweiten Teil des Kapitels beschrieben werden. Eine komplette Deaktivierung von OTA ist nicht möglich.


Smartphone Security