Fehlende Warnung (Cipher Indicator) auf dem Display, wenn unverschlüsselt Telefoniert wird. Das Sicherheitsrisiko, dass unter AV-A02 (Fehlende Auth. der Basisstation) beschrieben ist, könnte durch einen Cipher Indicator wie er laut Spezifikation vorgesehen ist entschärft werden.
AV-A07
Details:
A5/0 bedeutet unverschlüsselt, was laut Standard auf dem Display des ME als Cipher-Indicator (zum Beispiel als offenes Schloss) angezeigt werden kann. Die Funktion muss vom Endgerät unterstützt werden und auch auf der SIM-Karte muss das „Administartive Cipher Bit“[1,2] gesetzt sein.
Quellen/Links: [1] ETSI-Standard TS 100 906 V6.2.0 2000-04, siehe B.1.26
oder GSM 02.07 version 7.1.0 Release 1998 [2] ETSI Standard 300 977 GSM 11.11, Siehe 10.3.18
oder GSM 02.07 version 7.1.0 Release 1998 [2] ETSI Standard 300 977 GSM 11.11, Siehe 10.3.18
Erkennung:
Bei den aktuellen Smartphones ist die Cipher Indicator Funktion nicht implementiert [3]. Es gibt jedoch alte Handys [4,5], die unverschlüsselte Verbindungen auf dem Display Anzeigen.
Das „Administartive Cipher Bit“ ist von den Providern ebenfalls nicht gesetzt, wodurch eine eigene Implementation sehr erschwert wird.
Es sollte aber möglich sein mit einer sogenannten Turbo-SIM (oder auch Proxy-SIM) das Bit zu “faken”, um so doch zum Ziel zu gelangen.
Quellen/Links: [3] Google Android und das Thema Cipher Indicator. https://code.google.com/p/android/issues/detail?id=5353
[4] Mobistel, Siemens und Nokia Geräte mit Ciphering Indicator. http://security.osmocom.org/trac/wiki/WillMyPhoneShowAnUnencryptetConnection?
[5] Dieter Spaar’s Blog http://www.mirider.com/weblog/2010/08/03/#20100803-ciphering_indicator
