Fehlende Authentifizierung der Basisstation


AV: A02 Status: Aktiv Thread Level: Critical Auswirkungen: Vertraulichkeit, Integrität, Tracking, Ortung, IMSI-Leak, Gespräche Abhören, SMS-Abfangen Voraussetzung/Distanz: Remote Funk

Veröffentlicht: 27.01.2013 Aktualisiert: 08.07.2026

Der eigentliche Angriffsvektor entsteht durch das fehlende Authentifizieren der Basisstation gegenüber dem Smartphone (ME). Der Catcher nutzt aber noch weitere Schwachstellen aus (siehe AV-A) um abgehende Anrufe abhören zu können. Je nach Entwicklungsaufwand können Catcher auch eingehende Telefonate Abhören. Eine weitere Entwicklungsstufe stellen die Semi-Aktiven Geräte da.

Das Problem bei GSM/CSD ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher [1],[2] ein „Man In The Middle“-Angriff durchgeführt werden.

 

MITRE ATT&CK

T1467 – Rogue Cellular Base Station (T1467)

Matrix: Mobile

Taktik: Network Effects

Technik: Rogue Cellular Base Station



Details:

Hierzu muss das System in der Nähe der auszuspionierenden Person platziert werden. Durch Erhöhung der Sendeleistung werden die im Umkreis befindlichen ME dazu gebracht, sich mit dieser Station des Angreifers zu verbinden. Ist die IMSI-Nummer der abzuhörenden Person noch nicht bekannt, muss sie erst aus der Vielzahl der im Umkreis geführten Telefonate identifiziert werden. 

Professionelle Geräte wie zum Beispiel der GA-901 von „Rohde & Schwarz“ können deshalb mehrere Kanäle gleichzeitig aufnehmen. Hierdurch werden dann auch unbeteiligte Personen abgehört. Es können bei dieser Methode nur die vom Handy abgehenden Telefonate belauscht werden. Der ausgehende Ruf wird dann vom Catcher an eine echte BTS weitergeleitet. Im Falle der Open-Source-Lösung[3] wird eine Breitbandverbindung genutzt, damit eine Verbindung zum angerufenen Teilnehmer aufgebaut werden kann. Dabei kann auch ein sogenanntes „Caller ID-Spoofing“ realisiert werden. (siehe AV-C04)


Der sogenannte „MITM-Impersonation“ nutzt das „Dynamic SIM-Cloning“ Verfahren, um sich im Up- sowie auch im Down-Link Kanal zwischen den Kommunikationspartnern zu positionieren. Hierzu benötigt der Angreifer keine Informationen vom Mobilfunkbetreiber.
Grundsätzlich muss sich der Catcher gegenüber der echten Basisstation authentifizieren können, was natürlich auch durch den Besitz des geheimen Schlüssels Ki der Fall währe. Ki ist im Auth-Center des Mobilfunkbetreibers gespeichert.

Dass dieser Angriff auch bei einem gemeinsamen Betrieb von GSM- und UMTS-Netz möglich ist und in bestimmten Fällen sogar ein UMTS MITM, zeigen die wissenschaftlichen Arbeiten von Ulrike Meyer[4] und Susanne Wetzel, auf die später näher eingegangen wird.


Quellen/Links:

Technische und wissenschaftliche Quellen

  • Daehyun Strobel, „IMSI Catcher“ (2007), Seminararbeit der Ruhr-Universität Bochum
  • Adam Kostrewa, „Development of a Man-in-the-Middle Attack on the GSM Um-Interface“ (2011), Master Thesis, Technische Universität Berlin
  • [3] Uli Ries, „IMSI-Catcher für 1500 Euro im Eigenbau“ (2010), c’t
  • [4] Ulrike Meyer, Susanne Wetzel, „On the Impact of GSM Encryption and MITM Attacks on the Security of Interoperating GSM/UMTS Networks“ (2004) sowie „A Man-in-the-Middle Attack on UMTS“ (2004)
  • IMSI-Catcher: Überblick, Funktionsweise und Nachweisbarkeit




Erkennung:

Eine zuverlässige Standarderkennung gibt es nicht, weil die fehlende gegenseitige Authentifizierung in 2G/GSM systembedingt ist. Verdächtig sind jedoch unplausible Zellwechsel, das plötzliche Erzwingen von 2G, fehlgeschlagene Anrufe oder auffällige Verschlüsselungsparameter.

Praktische Ansätze liefern spezialisierte Monitor- und Analysewerkzeuge wie SnoopSnitch [5] oder AIMSICD [6]. Diese können Anomalien erkennen, liefern aber keinen lückenlosen Nachweis für jeden IMSI-Catcher.



Quellen/Links:




Gegenmaßnahmen:

Die wirksamste Gegenmaßnahme ist, wenn betrieblich möglich, 2G/GSM am Endgerät zu deaktivieren. Dadurch wird verhindert, dass ein Gerät auf die besonders schwach abgesicherte Funktechnik zurückfällt, die für viele IMSI-Catcher-Szenarien ausgenutzt wird.

Zusätzlich helfen vorsichtige Netzkonfiguration, moderne Geräte mit besserer Funkdiagnostik und der Einsatz von Monitoring-Tools. In Hochrisiko-Szenarien sollte auf auffällige Downgrades, ungewöhnliche Netzwechsel und nicht erwartete 2G-Einbuchungen geachtet werden.


Quellen/Links:









Weitere Vektoren aus dem Bereich

Parser-Schwachstellen in Mobilfunk-Protokollen

Parser-Schwachstellen in Mobilfunk-Protokollen betreffen die Verarbeitung speziell präparierter Signalisierungsnachrichten in LTE- und 5G-Netzen. Fehler in der Parser-Logik können Abstürze auslösen und im Einzelfall weitergehende Angriffe auf Netzkomponenten oder Basisband-Implementierungen ermöglichen.

LTE Protokolle und Schwachstellen

Immer mehr Schwachstellen im LTE-Protokoll werden bekannt. Diese ermöglichen sich als ein anderer Nutzer oder auch als eine LTE Basisstation auszugeben. Ähnliche Schwachstellen gibt es schon immer in 2G (GSM)

Unverschlüsselte Datenverbindung

Bei der Datenverbindung (ps) wird zwischen dem Endgerät  und der SGSN im Kern-Netz verschlüsselt. Nicht zwischen BTS und Endgerät wie es bei einer cs-Verbindung der Fall ist. 

Verschlüsselung GEA/x (ps)

Passives Abhören auf der Luftschnittstelle ist auch bei der Datenverbindung möglich. (ps = paketvermittelt)GEA/1, GEA/2, GEA/3