IMSI/LAI im Klartext


AV: A03

Das Smartphone sendet, z.B. bei der ersten Verbindungsaufnahme die unverschlüsselte IMSI der SIM-Karte und die LAI (Location Area Identifer) der letzten Verbindung mit einer Basisstation.


Details:

Ermöglicht unter anderem das Abmelden eines fremden Smartphones vom Mobilfunknetz. (IMSI DETACH)

Außerdem kann durch die IMSI der aktuelle Standort geortet werden. Weitere Details finden Sie unter AV-F03

„Location Update“ wird vom MSC, VLR, HLR oder vom ME angestoßen. IMSI und LAI  muss dem HLR/VLR zu jeder Zeit bekannt sein. (MM AUTHENTICATION REQUEST, RR CHANNEL REQUEST) Details zum „Location Management“ [1]


Quellen/Links:




Erkennung:

Eine direkte Erkennung am Smartphone ist nur eingeschränkt möglich. IMSI- und LAI-bezogene Signalisierung läuft auf niedrigen Protokollschichten ab und wird dem Nutzer normalerweise nicht transparent angezeigt.

Hinweise können ungewöhnliche Location-Updates, abrupte Re-Registrierungen oder auffällige Signalisierungsmuster sein. Eine belastbare Auswertung erfordert jedoch typischerweise Protokollanalyse, spezialisierte Funkwerkzeuge oder Netzbetreiberdaten [2].



Quellen/Links:




Gegenmaßnahmen:

Da IMSI und LAI im klassischen Mobilfunkbetrieb für bestimmte Netzfunktionen benötigt werden, lässt sich das Risiko nicht vollständig am Endgerät beseitigen. Sinnvoll sind deshalb Gegenmaßnahmen auf Architektur- und Betriebsseite: Einsatz modernerer Netze, Vermeidung unnötiger 2G-Nutzung und möglichst datensparsame Netzkonfiguration.

Aus Anwendersicht reduziert die Bevorzugung moderner Mobilfunkstandards und das Vermeiden unnötiger Legacy-Einbuchungen die Angriffsfläche. Für besonders schützenswerte Szenarien sind zusätzliche Funkanalyse- oder Detektionswerkzeuge sinnvoll.


Quellen/Links:




Kategorien: IMSI LAI





Weitere Vektoren aus dem Bereich

LTE Protokolle und Schwachstellen

Immer mehr Schwachstellen im LTE-Protokoll werden bekannt. Diese ermöglichen sich als ein anderer Nutzer oder auch als eine LTE Basisstation auszugeben. Ähnliche Schwachstellen gibt es schon immer in 2G (GSM)

Unverschlüsselte Datenverbindung

Bei der Datenverbindung (ps) wird zwischen dem Endgerät  und der SGSN im Kern-Netz verschlüsselt. Nicht zwischen BTS und Endgerät wie es bei einer cs-Verbindung der Fall ist. 

Verschlüsselung GEA/x (ps)

Passives Abhören auf der Luftschnittstelle ist auch bei der Datenverbindung möglich. (ps = paketvermittelt)GEA/1, GEA/2, GEA/3

Fall_Back to GSM

Ein automatischer „Fall-Back to Circuit Switched“  (beziehungsweise „Fall-Back to GSM“) ist für UTMS und LTE vorgesehen. 

Hand-Over

Die sich durch die geforderte Abwärtskompatibilität ergebenden Kombinationen von Hand-Over Prozeduren zwischen den unterschiedlichen Architekturen 2G bis 4G in den jeweiligen Ausbaustufen wirken sich kontraproduktiv auf die Sicherheit von UMTS

UMTS Integritätsschutz

Veränderungen an den Daten werden vom Empfänger nicht erkannt, wenn der Integritätsschutz deaktiviert ist.

Keine Warnung bei unverschlüsselter 2G Verbindung

Fehlende Warnung (Cipher Indicator) auf dem Display, wenn unverschlüsselt Telefoniert wird. Das Sicherheitsrisiko, dass unter AV-A02 (Fehlende Auth. der Basisstation) beschrieben ist, könnte durch einen Cipher Indicator wie er laut

Verschlüsselung A5 (cs)

Verschlüsselung der Sprachverbindung (A5/1, A5/2 oder A5/3, circuit switched /cs) zwischen Smartphone und BTS (Basisstation).

MITM bei Femto-Zellen

Eine Femto-Zelle ist eine NodeB (UMTS), die für den privaten sowie auch geschäftlichen Einsatz an den Endkunden abgegeben werden. Diese Funkzelle wird an einem Internetzugang betrieben und stellt für jeden

Störfunk/Jammer

Durch das Stören der UMTS-Frequenzbänder wir der wechsel auf GSM Standard erzwungen. (Teilfunktion bei Semi-Aktiven Abhöranlagen) Es ist aber auch ein kompletter „Denial of Service“ aller Funkverbindungen möglich.