33C3: Türsprechanlagen sind des Hackers fette Beute

Inhaltsverzeichnis

Türsprechanlagen, die über Mobilfunk kommunizieren, sind anfällig für Hackerattacken. Dies berichtete Sebastien Dudek von der französischen IT-Sicherheitsfirma Synacktiv am Mittwoch auf dem 33. Chaos Communication Congress. "Man kann damit Türen öffnen, Premium-Nummern anwählen oder Konversationen abhören", erklärte der Experte. Für die Kommunikationsüberwachung müsse das Gerät eine automatische Antwortfunktion unterstützen.

Elektronische Schließanlagen und dafür benutzte RFID-Chipkarten befinden sich bereits im Visier der Hacker, für Techniken wie Lockpicking gibt es ganze Turniere zum Schlossöffnen. Die sogenannten Intercoms bieten nun mit der Umrüstung auf den Mobilfunk neue Angriffsflächen, da Sicherheitsforscher auch in diesem Bereich schon seit Jahren immer wieder gravierende Sicherheitslücken entdecken. Die Tüftler haben etwa mit Osmocom auch Plattformen für den Betrieb von Mobiltelefonen entwickelt, die vollständig auf freier Software basieren und Härtetests insbesondere für das GSM-Netz ermöglichen.

Open-Source-Werkzeuge für eigene Basisstation

In Frankreich seien vor allem Sprechanlagen von Comelit, Intratone, Norasly oder Urmet Captiv mit drahtlosem Kommunikationstransfer auf dem Markt, konstatierte Dudek. Diese starteten in der Regel bei Preisen um die 2000 Euro und seien vor allem in Firmen im Einsatz. In Privathäusern weit verbreitet seien dagegen billigere Varianten insbesondere von Linkcom. Ein solches Gerät knöpfte sich der Experte auch selbst hauptsächlich vor.

Intercoms mit Mobilfunkverbindung kann man laut Dudek an einem LCD-Bildschirm und einer zugehörigen, meist aus rostfreiem Stahl bestehenden Box erkennen, die die Empfangsstärke anzeige. Mit Open-Source-Werkzeugen könne man eine eigene Basisstation bauen.

Im Kern gelte es zunächst, die Sprechanlage wie mit einem IMSI-Catcher dazu zu bringen, sich in die selbsterstellte Mobilfunkplattform einzuklinken. Da Standards ab 3G mit einer verbesserten Verschlüsselung aufwarteten, sei es ratsam, die Intercom in den GSM-Modus zu überführen. Dann erfolge keine ernstzunehmende Authentisierung zwischen Basisstation und Mobiltelefon mehr, Schlüssel könnten wiederverwendet werden, das Abhören der Kommunikation werde möglich.

Um GSM zu aktivieren, wählte Dudek eine "Jamming-Attacke". Er überlagerte dabei in ausgewählten Kanälen das Nutz- durch ein Rauschsignal mit gaußverteilter Signalamplitude. Erwartungsgemäß verhielten sich die Sprechanlagen dabei genauso wie gängige Handys und fielen auf 2G zurück, was der Angreifer in einem Demo-Video vorführte. Im Anschluss sei es ein Leichtes, das Gerät mit der eigenen Basisstation "einzufangen".

Intercom-Übernahme unter UMTS

Auch für UMTS hat Dudek eine Lösung gefunden, wobei er mit einigen Tricks eine Liste verwendeter UTRA Absolute Radio Frequency Channel Numbers (UARFCN) ermittelte. Aus diesen lässt sich die Sendefrequenz eines UMTS-Trägers ermitteln. Um auch "Radio Resource Control"-Nachrichten (RRC) in die Finger zu bekommen, habe er ein Android-Smartphone XGold Basisband sowie das Werkzeug xgoldmon verwendet. Um auf Smartphones von Samsung die UARFCN herauszubekommen, müsse man letztlich in den Servicemodus wechseln und Logs auslesen.

Für die weitere "Übernahme" der Intercom schraubte sich Dudek ein GSM-Abhörlabor zusammen mit Zutaten wie einem HackRF One Board als Testmodul, YateBTS oder Wireshark. Eine Intercom könne über ein Programmschnittstelle konfiguriert, die SIM-Karte mit allen Einstellungen ausgelesen und manipuliert werden. Man müsse dann ein Administratorkonto anlegen und die Kennung für einen an die Anlage angeschlossenen Teilnehmer herausfinden. Mit dem passenden Kommando, dass sich etwa durch eine Firmware-Analyse ausfindig machen lasse, könne man dann dessen Tür öffnen.

Türöffner

Dudek zeigte in einem weiteren Video, wie es ihm gelang, einen Hausbewohner vorzutäuschen, seine eigene SIM-Karte mit einer mithilfe eines Python-Skripts herausgefundenen Nummer für diesen zu verknüpfen und die Konfiguration zu erneuern. Im Anschluss rief die Sprechanlage das Mobiltelefon des Angreifers an. Man könne aber auch eine kostspielige eigene Premiumnummer anwählen und so Kohle machen.

Dieser Ansatz lässt sich dem Experten zufolge noch multiplizieren aufgrund der Tatsache, dass oft zahlreiche Intercoms von einem Provider über ein virtuelles Netzwerk von einem zentralen Server gesteuert werden. Dort seien bei einem der getesteten Geräte Schwächen wie bei vielen Webservices aufgetreten, die oft für gängige Angriffe wie Brute Forcing oder SQL-Injection anfällig sind. So habe er die Anschlussnummern für mehrere Teilnehmer auf Premiumangebote umstellen können. Türen hätten sich ebenfalls nach wie vor öffnen lassen, wobei man dann nur noch herausbekommen müsse, wo die entsprechende Wohnung sei. Da in den Anlagen oft auch die zugehörigen Festnetznummern hinterlegt würden, stelle dies aber keine große Herausforderung dar.

SIM-Karten nicht gesichert

Machbar sei es auch, die SIM-Karte aus der Sprechanlage in das eigene Smartphone zu stecken, mit der IMEI die Gerätekennung zu ändern und den richtigen Netzzugangspunkt einzustellen. Dann habe man eine kostenlose Internetverbindung. Auch das für die Internet-Telefonie verwendete Session Initiation Protocol (SIP) biete eine Angriffsfläche etwa aufgrund schlechter SSL-Überprüfungen oder in die Geräte eingebauter Zugangskennungen. Auf diesem Gebiet sei er aber noch nicht weit vorangekommen.

Der Fachmann warnte davor, dass ähnlich wie Intercoms zahlreiche Geräte im Internet der Dinge funktionierten. Den Herstellern riet er dringend, zumindest der SIM-Karte eine PIN-Abfrage vorzuschalten, eine Kommunikation nur mit ausgewählten IMEIs zuzulassen, Audits in Auftrag zu geben, Firewalls einzuziehen, auffälliges Verhalten aufzuspüren sowie andere gängige Sicherheitsmaßnahmen einzuführen. (akr)