rC3: Spionage im Mobilfunknetz

Mit heimlichen Mobilfunkabfragen und stillen SMS können Angreifer den Standort von Hunderten von Millionen Mobiltelefonen ermitteln. Auf dem remote Chaos Communication Congress (rC3) berichtete der Sicherheitsforscher Cathal Mc Daid von AdaptiveMobile Security vom Kampf gegen die heimliche Überwachung.

Die Attacken auf die Mobilfunknetze stehen seit Jahren unter Beobachtung des CCC. Bereits 2014 präsentierte Karsten Nohl auf dem 31C3, wie offen das Mobilfunk-Protokoll SS7 für Missbrauch aller Art bis zum Abfangen von SMS und dem Umleiten von Gesprächen war. Bei der Nachfolgeversion des SS7-Protokolls für 4G-Netze namens Diameter existieren einige der gleichen Probleme. Die Kernannahme ist immer noch, dass prinzipiell nur berechtigte Firmen auf das System Zugriff haben und es nur für reguläre Zwecke nutzen. Doch in der Praxis nutzen sowohl Überwachungsfirmen, Kriminelle als auch Regierungen Zugänge zum Zweck der Spionage.

Indirekte Attacken über Cell-ID oder IMEI

Immerhin: Viele Provider setzen mittlerweile Technik gegen Missbrauch ein, die zum Beispiel von AdaptiveMobile Security bereitgestellt wird. In der Praxis sei Missbrauch immer noch alltäglich, mache aber nur einen winzigen Bruchteil des SS7-Traffics aus, erklärte Mc Daid. Um die Entdeckung durch Mobilfunkprovider zu vermeiden, versuchten die Angreifer inzwischen immer öfter eine indirekte Attacke, bei der sie zuerst Informationen über das Mobiltelefon eines Überwachungsziels wie die Cell-ID oder die IMEI (International Mobile Equipment Identity) abfragen. Die eigentlich gewünschte Information wie den Standort des Mobiltelefons wird erst später abgeschöpft.

Die Angreifer haben dazu eine komplexe Infrastruktur aufgebaut. So berichtete Mc Daid von einem Fall, bei dem versucht wurde mit Anfragen aus Großbritannien, Kamerun, Israel und Laos den Standort eines ehemaligen französischen Geheimdienst-Mitarbeiters zu ermitteln. Doch wegen der Gegenmaßnahmen des Providers war keine der Attacken erfolgreich. Dass der Kampf gegen die kommerzielle Spionage erfolgreich ist, zeige der Schwarzmarkt für SS7-Abfragen. So steigt der Preis, je mehr SS7-Anfragen gestellt werden sollen, da die Anbieter befürchten müssen ihren Zugang zu verlieren, wenn ihre Geschäfte auffliegen.

Schwachstelle im S@T Browser

Ein relativ neuer Angriff machte dieses komplexe Vorgehen eigentlich unnötig. Die im vergangenen Jahr publizierte Simjacker-Attacke kam ganz ohne Eingriff in Mobilfunksysteme aus: Über eine speziell präparierte SMS konnte das Mobiltelefon eines Opfers angewiesen werden, seinen eigenen Standort an den Angreifer zurückzusenden. Genutzt wird dafür eine Schwachstelle des so genannten S@T Browser (SIMalliance Toolbox Browser), der von Mobilfunkprovidern in vielen Ländern direkt auf der SIM-Karte installiert wird. Wie bei den Mobilnetz-Attacken merkt das Opfer überhaupt nichts von der Abfrage, da die SMS nicht angezeigt, sondern direkt auf der SIM-Karte verarbeitet und beantwortet wird. Die Angreifer benötigen lediglich die Telefonnummer ihres Ziels. Ob man selbst von der Attacke betroffen sein kann, kann man etwa über das Tool SIMtester von SRLabs herausfinden.

Nach einem Jahr Beobachtung ist Mc Daid zu der Überzeugung gelangt, dass bisher nur eine einzige Überwachungsfirma diese Technik einsetzt. Das macht sie allerdings in großem Ausmaß. So seien viele Simjacker-Attacken auf wenige Provider auf dem amerikanischen Kontinent konzentriert. Bei einem Provider zählte der Sicherheitsforscher gar 400 Attacken pro 100.000 Kunden innerhalb eines Jahres. Vor der Veröffentlichung der Lücke soll die Zahl sogar bei 1300 Abfragen pro 100.000 Kunden gelegen haben. Dies spricht dafür, dass diese Methode zur Breiten- und Dauerüberwachung genutzt wurde.

Nach der Entdeckung konnten Mobilfunkprovider auch diese SMS-Attacken abwehren. Deshalb versuchen die Angreifer wieder ihre Eingriffe besser zu verstecken. So beobachtet Mc Daid in der Praxis mittlerweile Abfragen, die Simjacker und SS7-Attacken vereinen. Für das 5G-Netz sieht Mc Daid zwar große Fortschritte beim Sicherheits-Design. Allerdings sei die Technik auch wesentlich komplexer als 4G, so dass auch neue Schwachstellen zu erwarten seien. "Provider müssen damit rechnen, Ziel von Attacken zu werden – und müssen deshalb an ihren Verteidigungsmechanismen arbeiten", warnt der Sicherheitsforscher.

(pbe)