"Location Leaks" im SS7-Protokoll


VEKTOR:F04

Zur Ortung kann zum Beispiel auch eine Stille SMS eingesetzt werden, wie es unter AV-B07 beschrieben ist. Um jedoch die Verbindungsdaten auswerten zu können, muss ein weiterer Zugriffspunkt direkt beim Provider bestehen. Damit könnte die aktuelle Cell-ID ermittelt werden, bei der das Smartphone gerade angemeldet ist.

Dies ist  über das SS7 Protokoll möglich. (Signalling System No.7)  


Details:

Um von Außen auf diese Informationen zugreifen zu können (ohne das Smartphone manipulieren zu müssen), gibt es aber mindestens drei alternative Lösungen.

Um zu überprüfen, ob sich das gesuchte Gerät an einem bestimmten Ort befindet, müsste dort der Pagin Channel (PCCH) abgehört werden, wie in der Untersuchung[1] „Location Leaks on the GSM Air Interface“ beschrieben ist. Dieser Angriff wurde jedoch nicht mit einer stillen SMS durchgeführt, sondern durch einen Verbindungsaufbau, der kurz vor dem Klingelton abgebrochen wurde.

Aber auch durch die Nutzung von Messengern (WhatsApp, Telegram, Facebook) kann dieses Paging der Basisstation angestoßen werden. Sogar bei LTE kann dieses Verfahren angewendet werden[2].

Das Signalling System No.7 kann auch direkt zur Ortung benutzt werden. Hierzu wird der Request „MAP_SEND_ROUTING_INFO_FOR_SM“ an das Kern-Netz des Providers gesendet, das den aktuellen Aufenthaltsort kennen muss. Ein derartiger Angriff ist in einer Präsentation von Tobias Engel[3] im Jahre 2008 auf dem 25th CCC beschrieben worden.

Ein aktuelles Paper aus dem Jahre 2016 zeigt, dass der Angriff auch bei LTE Netzen funktioniert[4].

 


Quellen/Links:

[1] Denis Foo Kune, John Koelndorfer, Nicholas Hopper, Yongdae Kim
„Location Leaks on the GSM Air Interface“, 2012 
PDF öffnen (users.cs.umn.edu)

[2] Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems, 2016

[3] Tobias Engel, „Locating Mobile Phones using SS7”, 2008, 25th CCC
Link (events.ccc.de) Youtube Clip: Locating Mobile Phones using SS7 [25c3] 

[4] User Location Tracking Attacks for LTE Networks Using the Interworking Functionality, 2016




Kategorien: GSM LTE Ortung SMS SS7 Stealth SMS Stille SMS





Weitere Vektoren aus dem Bereich

Lokalisation durch Unique-IDs

Die Ortung kann durch alle eindeutig zuweisbare Nummern, wie zum Beispiel die IMSI oder die IMEI erfolgen. Dieser Angriff findet in der unmittelbaren Umgebung  des Smartphones statt und benötigt keine

Lokalisierung über den Stromverbrauch

Einem Forscherteam ist es gelungen ein Android Smartphone nur über den Verbrauch des Akkus zu Orten. 

Assisted GPS (A-GPS)

Um den Standort des ME möglichst schnell und genau mittels GPS zu ermitteln, benötigen Smartphones die Unterstützung (assistance) durch den Mobilfunk Provider oder einem Positioning Server. 

IP Geo-Location

Auch wenn die Funktionen zur Ortung, wie z.B. GPS deaktiviert sind, kann es immer noch anhand seiner IP geografisch geortet werden. 

Abfragen der SSID

Eine weitere Option ist die Standortbestimmung durch eine Abfrage der WLAN-Access Points, in der Umgebung des Smartphones. Durch das Auslesen der letzten SSIDs oder der W-LAN Konfigurationsdaten, könnten ebenfalls Rückschlüsse

COO Ortung

Die vom Mobilfunknetz initiierte Ortung dient unter anderem zur Messung der Signalqualität am aktuellen Standort des Smartphones.