IMSI Catcher (fake Basestation)
Der eigentliche Angriffsvektor entsteht durch das fehlende Authentifizieren der Basisstation gegenüber dem Smartphone (ME). Der Catcher nutzt aber noch weitere Schwachstellen aus (siehe AV-A) um abgehende Anrufe abhören zu können. Je nach Entwicklungsaufwand können Catcher auch eingehende Telefonate Abhören. Eine weitere Entwicklungsstufe stellen die Semi-Aktiven Geräte da.
Das Problem bei GSM/CSD ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher [1],[2] ein „Man In The Middle“-Angriff durchgeführt werden.
Details:
Hierzu muss das System in der Nähe der auszuspionierenden Person platziert werden. Durch Erhöhung der Sendeleistung werden die im Umkreis befindlichen ME dazu gebracht, sich mit dieser Station des Angreifers zu verbinden. Ist die IMSI-Nummer der abzuhörenden Person noch nicht bekannt, muss sie erst aus der Vielzahl der im Umkreis geführten Telefonate identifiziert werden.
Professionelle Geräte wie zum Beispiel der GA-901 von „Rohde & Schwarz“ können deshalb mehrere Kanäle gleichzeitig aufnehmen. Hierdurch werden dann auch unbeteiligte Personen abgehört. Es können bei dieser Methode nur die vom Handy abgehenden Telefonate belauscht werden. Der ausgehende Ruf wird dann vom Catcher an eine echte BTS weitergeleitet. Im Falle der Open-Source-Lösung[3] wird eine Breitbandverbindung genutzt, damit eine Verbindung zum angerufenen Teilnehmer aufgebaut werden kann. Dabei kann auch ein sogenanntes „Caller ID-Spoofing“ realisiert werden. (siehe AV-C04)
Der sogenannte „MITM-Impersonation“ nutzt das „Dynamic SIM-Cloning“ Verfahren, um sich im Up- sowie auch im Down-Link Kanal zwischen den Kommunikationspartnern zu positionieren. Hierzu benötigt der Angreifer keine Informationen vom Mobilfunkbetreiber.
Grundsätzlich muss sich der Catcher gegenüber der echten Basisstation authentifizieren können, was natürlich auch durch den Besitz des geheimen Schlüssels Ki der Fall währe. Ki ist im Auth-Center des Mobilfunkbetreibers gespeichert.
Dass dieser Angriff auch bei einem gemeinsamen Betrieb von GSM- und UMTS-Netz möglich ist und in bestimmten Fällen sogar ein UMTS MITM, zeigen die wissenschaftlichen Arbeiten von Ulrike Meyer[4] und Susanne Wetzel, auf die später näher eingegangen wird.
Quellen/Links:
[1] Daehyun Strobel „IMSI Catcher“, Seminararbeit der Ruhr-Universität Bochum 2007
[2] Adam Kostrewa „Development of a man in the middle attack on the GSM Um-Interface“, Master Thesis, Technische Universität Berlin 2011
[3] Uli Ries „IMSI-Catcher für 1500 Euro im Eigenbau“, Zeitschrift C’t 01.08.2010
[4] Ulrike Meyer (University of Technology, Darmstadt), Susanne Wetzel (Stevens Institute of Technology, USA) “ON THE IMPACT OF GSM ENCRYPTION AND MITM ATTACKS ON THE SECURITY OF INTEROPERATING GSM/UMTS Networks” und “A Man-in-the-Middle Attack on UMTS”, 2004
Kategorien: