36C3: Signal-Overshadowing-Angriff auf 4G-Mobilfunk als besserer IMSI-Catcher
Koreanische Sicherheitsforscher haben mit "SigOver" eine neue Angriffsklasse auf LTE demonstriert, die das Abhören, Orten und Stören von Handys vereinfacht.
Bisher waren für großangelegte Attacken auf den Mobilfunk vor allem simulierte Basisstationen das Mittel der Wahl. Auch Sicherheitsbehörden setzen einschlägige IMSI-Catcher ein, um Verdächtige oder Gefährder zu orten sowie ihre Kommunikation zu belauschen. Sicherheitsforscher des Korea Advanced Institute of Science and Technology (KAIST) haben am Samstag auf dem 36. Chaos Communication Congress (36C3) in Leipzig nun "Signal Overshadowing" (SigOver) als effektivere, zielgenauere, schwerer zu entdeckende und weniger aufwendige Alternative zu gefälschten Funkzellen vorgestellt.
Grundidee von SigOver ist es, in den normalen Datenverkehr zur Authentifizierung zwischen Endgerät und Basisstation unauffällig bösartige Signale einzuschleusen und damit bei 4G bestehende Sicherheitsmechanismen zu umgehen. Die Angriffsmasche mache sich "fundamentale Schwächen der drahtlosen Kommunikation zunutze", erklärte Mincheol Son vom KAIST. So könnten stärkere Signale von einem einfachen Testsystem ausgesandt werden, die das Handy anstandslos empfange.
Ăśberstrahlen, aber nicht jammen
Eine gezeigte Variante solcher Überlagerungsangriffe baut auf unverschlüsselten Mobilfunknachrichten der Synchronisierungssignale PSS/SSS sowie des Master Information Block (MIB) und des System Information Block (SIB) zur Dekodierung auf, die auf dem Endgerät in einzelnen Subframes erfolgt. Entscheidend ist es dafür, nicht zu viel des üblichen Verkehrs zu überschreiben, um den Mobilfunk nicht völlig zu unterbrechen ("Jamming"). Die Botschaften sollen möglichst genau im richtigen Zeitfenster eintreffen und standortabhängige Verzögerungen dabei schon berücksichtigen.
Mobiltelefone sind bereits so eingestellt, dass sie geringfügige Übertragungsfehler tolerieren. Die benötigte Mindestfrequenzgenauigkeit bei einer gängigen Basisstation berechneten die Südkoreaner mit ±50 ppb (parts per billion) beziehungsweise ±90 Hz. Für die SigOver-Attacke nutzten sie ein günstiges Software Defined Radio (SDR), bei dem ein Großteil der Signalverarbeitung ohne spezielle Hardware auskommt, zusammen mit einem einfachen Oszillator. Damit konnten sie eine ähnliche große Gegend abdecken wie eine Basisstation im städtischen Umfeld.
In der Testumgebung, die mit dem Open-Source-LTE-Stack srsLTE arbeitete und Smartphones wie das iPhone XS sowie diverse Samsung-Modelle einbezog, sammelten die Wissenschaftler etwa MIB- und SIB-Werte aus der normalen Funkzelle, kreierten einen Subframe und übertrugen diesen mit der erforderlichen Synchronisierungszeit auf das angegriffene Endgerät. In einer Video-Demo war zu sehen, wie dieses zwar weiterhin mit der bisherigen Basisstation kommunizierte. Zugleich konnten die Angreifer aber etwa statt der 45 üblichen 21.600 Tracking-Anforderungen pro Stunde verschicken und so eine "selektive Denial-of-Service-Attacke" (DoS) ausführen. Damit sowie über einen "Signaling Storm" war es möglich, gezielt Dienste wie Sprachtelefonie, Datenkommunikation oder SMS zu blockieren.
Das Team zeigte auch einen ähnlichen Angriff via "IMSI Paging". Dabei werden die temporäre ID GUTI (Globally Unique Temporary Identifier) sowie die permanente IMSI-Kennung (International Mobile Subscriber Identity) manipuliert, die Verbindung unterbrochen und eine neue angefordert. Ein laufender Anruf kann dabei nicht aufrechterhalten werden. Als weiteres Beispiel führten die Forscher vor, wie sie einen gefälschten Hinweis auf einen Notfall erzeugen konnten. Das Testsystem gab sich dabei mit einem Leistungspegel von +3 dB bei einer Erfolgsquote von 98 Prozent zufrieden, während eine gefälschte Basisstation Son zufolge bei 100 Prozent Durchschlag +40 dB erforderte.
Fake-Basisstation unterjubeln
Bei der zweiten SigOver-Angriffsart setzen die Forscher auf eine gezielte Unicast-Übertragung einer schädlichen Nachricht an ein Endgerät, um dieses besonders einfach mit einer gefälschten Basisstation oder etwa einem IMSI-Catcher zu verbinden. Letztere müssen bisher die Signale einer originalen Funkzelle übertrumpfen, damit sich Handys in die simulierte Umgebung einbuchen. Mit der Unicast-Methode brauchen sie deutlich weniger Leistung und sind damit schwerer zu entdecken. Zudem sind von so einer Attacke nur die direkt anvisierten Endgeräte betroffen. Die "Fake-Basis" kann ferner auf 3G oder GSM zurückfallen und so noch schwerere Angriffe ausführen.
Der Unicast-Ansatz sei etwas aufwendiger als die erste Variante, da dafür konkrete Sicherheits- und Verschlüsselungsmechanismen von LTE ausgehebelt oder umgangen werden müssten, erläuterte Sons Kollege CheolJun Park. Es sei nötig, neben der IMSI auch den Radio Network Temporary Identifier (RNTI) des Endgeräts nebst Sequenznummer und Nachrichtenformat zu kennen, da sonst keine Dekodierung der untergejubelten Betreiberdaten erfolge. Wichtig sei es dabei, das Unicast-Signal vor der Aktivierung oder nach der Deaktivierung der Sicherheitsfunktionen zu senden.
In einem zweiten Szenario könne der Angreifer den "Sicherheitskontext" auch nachträglich löschen, indem er etwa eine IMSI-Paging-Nachricht sende, führte Park aus. Das Mobiltelefon sollte damit sämtliche aktiven Sessions beenden und Parameter wie den GUTI oder Schlüssel löschen. Danach werde das Verbindungsverfahren neu gestartet, wobei der eigene Code zur Manipulation des Radio Resource Control Protocol (RRC) etwa mit Verweis auf eine neue Netzbetreiberinformation eingeführt werden könne. Für diesen Test habe man das Galaxy S4 verwendet, da diese aufgrund einer Schwachstelle auch unverschlüsselte Signale empfange.
GegenmaĂźnahmen auf dem Weg
Open-Source-Code für die gezeigten SigOver-Attacken wollen die Forscher momentan nicht veröffentlichten, da davon Gefahren für unschuldige Nutzer ausgehen könnten. Man habe den Mobilfunkdachverband GSMA, den Ausrüster Qualcomm und die Standardisierungsorganisation 3GPP über die Probleme informiert, die derzeit an Gegenmaßnahmen arbeiteten. Trotz Schwierigkeiten beim Schlüsselmanagement müssten zur Protokollabsicherung digitale Signaturen verwendet werden, forderte Park. Er verwies darauf, dass es illegal sei, einschlägige Angriffe außerhalb von Testumgebungen durchzuführen. SigOver sollte daher auch "keine Lösung für Strafverfolger" darstellen. Dass auch 4G generell recht einfach zu überwachen ist, hatten Experten schon vor zwei Jahren auf der Hackerkonferenz dargelegt. (ola)