29C3: Billig-Handy als GSM-Basisstation

Das 2006 vorgestellte Billig-Handy Motorola C123 lässt sich mit vorhandenen Open-Source-Lösungen und etwas eigener Software in eine GSM-Funkstation verwandeln. Einen Machbarkeitsnachweis lieferte der belgische Hacker Sylvain Munaut am Samstag auf dem 29. Chaos Communication Congress (29C3) in Hamburg. Er schaffte es dabei, das für zusätzliche Berechnungen an einen Laptop angeschlossene Billig-Handy die für eine Basisstation üblichen Signalimpulse ("Bursts") aussenden zu lassen. Mit dem Wireshark-Sniffer konnte er zeigen, dass sich bereits das ein oder andere Mobiltelefon aus dem Raum in die aufgebaute Zelle eingebucht hatte und schon eine SMS darüber versandt wurde.

Der Hack setzt auf bekannten Schwachstellen im GSM-Netz und Vorarbeiten etwa im Rahmen des OsmocomBB-Projekts auf, zu dessen Team Munaut gehört. Mit den freien Software-Lösungen OpenBTS und OpenBSC ist es schon seit Längeren möglich, eine GSM-Basisstation nebst zugehöriger Steuerungseinheit zu implementieren. Zugute kommt den Mitstreitern von OsmocomBB, dass bei GSM-Übertragungen keine gegenseitige Authentisierung zwischen Telefon und Netzwerk erfolgt. Dies macht auch den Einsatz von IMSI-Catchern zur Ortung von Teilnehmern und zur Vorbereitung von Abhörmaßnahmen möglich. Darüber hinaus gelten die eingesetzten Verschlüsselungsalgorithmen als schwach und vergleichsweise einfach umgehbar, was Munaut zusammen mit dem Berliner Sicherheitsforscher Karsten Nohl 2010 auf der Hackerkonferenz 27C3 vorführte.

Die Osmocom-Tüftler hatten bereits einen geeigneten Basisband-Prozessor ausfindig gemacht, in dem das GSM-Protokoll auf einem Mobiltelefon abläuft. Das Team griff dabei auf ein TI-Calypso-Modul zurück, da der zugehörige Protokoll-Stack und eine Dokumentation bereits verfügbar waren. Es wurde etwa im Motorola C123 eingesetzt, das in Online-Auktionshäusern für wenige Euro zu ergattern ist. Damit war es den Experten bereits vor zwei Jahren gelungen, Kanäle zu einem Netzwerk aufzubauen, beliebige Kontrollbotschaften zu senden, Zellinformationen zu scannen oder falsche Standortangaben zu simulieren.

Munaut führte das Projekt weiter und bohrte die Calypso-Plattform in dem Motorola-Gerät komplett zur Sende- und Empfangsstation auf. Dafür sei es unter anderem nötig gewesen, die im Handy ablaufende generische Signalverarbeitung und die zugehörige Kanalkodierung und -implementierung "ein wenig zu verändern". Eine Basisstation sende fortlaufend Signale aus, um Handys zum Einbuchen in die aufgebaute Zelle zu bringen, was ein als Empfangsgerät gedachtes Mobiltelefon zunächst einmal nicht könne, erläuterte er auf dem 29C3.

Eine weitere Herausforderung war es Munaut zufolge, die Signale in der für GSM richtigen Zeitabfolge zu senden. Glücklicherweise sei ihm aufgefallen, dass man den entsprechenden Taktgeber des Handys an den einer gängigen "kommerziellen Funkzelle" anknüpfen könne. Zudem seien ihm einige Fehler im Signalprozessor des Mobiltelefons zugute gekommen. So habe er es etwa über neue Startadressen im Bootprozess und andere Tricks geschafft, den Signalprozessor mit eigenem Code zu programmieren und so die Modulation beeinflussen zu können.

Zusammen mit seinen Mitstreitern sei es ihm so möglich gewesen, dem Handy neue Übertragungsfähigkeiten für mehrere Signale hintereinander sowie für die eigentlich nur von einer Basisstation beherrschten Burst-Arten einzupflanzen. Daten für die Auswertung von Phaseninformationen sende man für die Demodulation an den mit dem Handy verbundenen Laptop.

Für den Praxistest spielte Munaut zunächst über den Rechner eine neue Firmware auf das Motorola-Handy auf, installierte OpenBTS und wählte eine Referenzfunkzelle aus; in diesem Fall die des erneut aufgebauten kongresseigenen GSM-Netzwerks. Dann müsse man sich eine Mobilfunkfrequenz aussuchen, wofür eine gültige Lizenz vorhanden sein müsse, betonte der Experte. Nach dem Öffnen von OpenBTS könne man die Sende- und Empfangsfunktion starten, die Netzwerke synchronisieren und mit dem Übertragen beginnen.

Der Code für den Hack werde "Anfang 2013" veröffentlicht, versprach Munaut. Noch fehle die Dokumentation. Das Ganze richte sich an "Entwickler und GSM-Enthusiasten". Wer Osmocon und OpenBTS bedienen könne, sollte imstande sein, die "nicht ganz allen Standards entsprechende" Basisstation-Software ebenfalls nach Einholen der erforderlichen Testlizenz zum Laufen zu bringen. Ein wenig gesunden Menschenverstand müsse man dabei walten lassen, da GSM teils für "kritische Anwendungen" benötigt werde.

Vorgenommen hätten sich die Projektpartner noch, OpenBSC zu implementieren, die Zuverlässigkeit des Programms zu erhöhen und eine mit mehreren Handys arbeitende Lösung zu entwickeln. Damit dürfte dann auch ein Kanal für die Stimmübertragung drin sein, meinte Munaut. Ferner könnten so die Sniffer-Fähigkeiten der simulierten Basisstation ausgebaut werden. (ll)