Modem / Baseband Hack


VEKTOR:E01

Angriffsmethoden auf den Baseband-Prozessor werden in den letzten Jahren immer häufiger veröffentlicht. Zunächst muss eine Verbindung zum Smartpone hergestellt werden. Hierfür gibt es bekannte Lösungen, die bereits im Abschnitt „IMSI-Catcher“ beschrieben wurden. Damit kann der Angreifer auch aus großer Entfernung auf das Smartphone zugreifen.


Details:

Anschließend wird durch das sogenannte „Baseband-Fuzzing[1]“ versucht, ein ungewöhnliches Verhalten oder Systemabstürze zu provozieren.

Auch das „Reverse Engineering“ kann Aufschluss über Schwächen und Fehler eines Systems geben, wie es in verschiedenen Untersuchungen beschrieben wird[2].

Des Weiteren gibt es das „Flooding“, um das Mobilfunknetz oder die SIM-Karte mit Anfragen zu überlasten[3]. Da es nur relativ wenig Hersteller[4] von diesen Modulen gibt, würde ein Fehler in der Firm- oder Hardware eine Reihe von Geräten treffen.

2014 wurde eine backdoor im Samsung Galaxy gefunden[5].

Der Baseband Processor (Modem, Radio) besitzt umfassende Zugriffsrechte auf alle Speichereinheiten und Sensoren. Im „Privileged Mode“ kann sie die Kontrolle über das Smartphone erhalten. Dokumentationen zu diesen Prozessoren oder gar sicherheitsrelevante Informationen werden nicht veröffentlicht (Security By Obscurity).
(Qualcomm, Mediatek, Texas Instruments und Infineon teilen sich den Großteil des Marktes.)


Quellen/Links:

[1] Professor Barton Miller, Universität von Wisconsin-Madison, 1989 entwickelte die als Fuzzing bekannte Methode. Hierzu werden manipulierte oder zufällige Datenpakete an einen Empfänger gesendet, um so Sicherheitslücken (Exploits) aufzudecken.

[2] Ralf Philipp Weinmann „All your Baseband are belong to us“, 2011 und “Baseband Attacks: Remote Exploration of Memory Corruptions in Cellular Protocol Stacks”, USENIX Workshop 2012

[3] Grugq “Base Jumping – Attacking the GSM baseband and base Station“, 2010 http://bit.ly/9LaMMd [08-2012]

"Malware-flingers can pwn your mobile with OVER-THE-AIR updates" Untersuchung der Firma GSMK CryptoPhones, Veröffentlicht auf the register.co.uk. [07.03.2013]

[4] Qualcomm, Broadcom und Realtek 

[5] Replicant developers find and close Samsung Galaxy backdoor  
http://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor [04-2014] 

Auch Fehler in der Firmware treten immer wieder auf: inteliphone_cellular_modems

Kategorien:

WiFi/WLAN

Eine mit WEP geschützte Verbindung ist innerhalb weniger Sekunden entschlüsselt. Aber auch WPA/WPA2 ist nicht mehr sicher. Sogar auf den neuen Standard WPA3 gibt es erste Angriffsszenarien. 

Sensoren

Bewegungssensor wird zum Mikrofon Das Gyroskop im Smartphone kann Frequenzbereiche im hörbaren Bereich empfangen. Somit kann der Bewegungssensor theoretisch (und oft auch praktisch) als Mikrofon benutzt werden. Ein weiterer Angriff:

FOTA (Firmware-Over-The-Air)

Bei “Firmware Over The Air” (FOTA) wird eine SMS als WAP-Push gesendet, um ein Firmware-Update auszuliefern. Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels

Kamera / QR-Code

Der QR Code [1] kann bis zu 2953 Byte Daten enthalten, die von der verwendeten Anwendung nach dem Einscannen in einen lesbaren Text umgewandelt wird.

NFC (& RFID) Sicherheitsrisiken

Der RFID-Chip [1] besteht aus einer Antenne, einem Controller und einem wieder beschreibbaren Speicher. Das Bauteil kann als passiver Tag sowie als Tag-Reader betrieben werden. Sicherheitsrisiken entstehen zum Beispiel, wenn sich

Cross-Service Attack

Der Zugriff auf Schnittstellen über Funktionen von anderen Diensten und Schnittstellen. Zum Beispiel aus dem Mobilfunknetz auf das W-LAN oder GPS  Interface. Auch der Webbrowser kann direkt auf Sensoren und Schnittstellen

Bluetooth-Interface

Über das Bluetooth-Interface können Anrufe an ein Head-Set, eine Fernsprechanlage oder einen Funkverstärker übertragen werden. 

Bluetooth Datenverschlüsselung

Die Datenverschlüsselung erfolgt mit einem Stromchiffre-Verfahren. Von den 128 Bit werden in der Praxis aber nur maximal 84 Bit genutzt. Zusätzlich überträgt Bluetooth mit dem Frequenzspreizverfahren „Frequency Hopping“, um durch

OTA (Over The Air)

Das sogenannte „Over-the-Air“–Verfahren (OTA) ermöglicht das  Konfigurieren der GPRS, WAP, E-Mail oder MMS Einstellungen. Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels gesendeter SMS direkt

Auslesen der SIM-Karte

Kontaktdaten wie Telefonnummern (inkl. angerufene Nummern), die letzte Location Area Identifier (LAI) und eventuell auch die SMS Nachrichten, sind auf der SIM-Karte gespeichert.
«
»