So leicht kann ein Handy-Netzwerk gehackt werden

24 Nov 2015

Im letzten Jahr wurde eine neue Angriffsmethode auf Handy-Netzwerke entdeckt. Sie benötigt weder teure Funk-Scanner noch leistungsfähige PCs und steht eigentlich jedem zur Verfügung. Davon abgesehen haben die Netzwerkanbieter keine praktischen Möglichkeiten, sich gegen diese Angriffsart zu wehren.

cellular-ss7-featured

 

Der Angriff basiert auf der Attacke auf SS7, einem Signal-System, das von Netzbetreibern verwendet wird und schon in den 1970er Jahren entwickelt wurde – also zur Zeit der ersten elektronischen Telefonschaltungen. Interessanterweise bietet SS7 nicht einmal grundlegende Schutzmaßnahmen: Der Verkehr wird nicht verschlüsselt und die Geräte können nicht zwischen legitimen und falschen Kommandos unterscheiden. Das System verarbeitet jedes Kommando, egal aus welcher Quelle es kommt.

Der Grund ist einfach: Die Entwickler des Protokolls vor 40 Jahren haben die Signalebene von der Stimmebene getrennt und kein Mitarbeiter bei der Telefonschaltung könnte auf diesen Kanal zugreifen. Und selbst wenn es jemand versuchen würde, hätte das keinen Sinn: Über das Netzwerk wurden keine Kommandos, abgesehen von denen zur Verbindung eines Nutzers, übertragen. Daher musste man sich keine Sorgen wegen falscher Datenpaketen machen, die übertragen werden könnten.

Doch das änderte sich, als im Jahr 2000 die Übertragung von SS7-Kommandos per IP eingeführt wurde. Das öffnete die SS7-Ebene für den Zugriff von außen.

Die gute Nachricht ist, dass es nicht möglich ist, sich über irgendeinen Computer per Internet mit einem Betreibernetzwerk zu verbinden. Dazu bräuchte man ein spezielles Gerät, einen SS7-Hub. Die schlechte Nachricht sind jedoch die schwachen Regulierungen für den Kauf solch eines Netzwerkgeräts. Manche Länder vergeben ganz einfach Netzbetreiberlizenzen, die es jedem ermöglichen, ganz legitim einen Hub aufzubauen und es mit einem Transportknoten zu verbinden. Das erklärt, warum der Schwarzmarkt voll von illegalen Händlern ist, die „Connection-as-a-Service“ zu solchen Hubs anbieten.

Es ist egal, wo der Hub steht. Es kann dafür verwendet werden, Kommandos weltweit an jedes Netzwerk zu senden und zu empfangen. Das hat einen Grund: Das Blockieren von Kommandos an bestimmten Netzwerkknoten würde eine Unterbrechung von Roaming-Diensten und Abschneiden internationaler Verbindungen zur Folge haben. Dadurch wird es sehr schwer, solche Angriffe abzuwehren.

Kommen wir zu den Möglichkeiten für Cyberkriminelle: Ein Angreifer bräuchte zunächst die International Mobile Subscriber Identity (IMSI) seines Opfers, die einzigartige Identifikationsnummer einer SIM-Karte in einem Mobilnetzwerk. Ausgeführt wird die Attacke dann per SMS (interessanterweise war die SMS eine undokumentierte Funktion des GSM-Protokolls: Die Nachrichten werden über den Signal-Kanal übertragen).

Wenn jemand eine Anfrage für das Senden einer SMS an eine bestimmte Telefonnummer stellt, antwortet das Mobilnetzwerk – genauer gesagt, das Home Location Register (HLR), die Hauptdatenbank der Kunden-Informationen eines Mobilnetzwerks — mit der IMSI und der Referenz zum aktuellen Mobile Switching Center (MSC) und dem Visitor Location Register (VLR), einer Datenbank, die temporäre, aufenthaltsortspezifische Informationen zu dem Handy enthält, die das MSC benötigt, um Mobilkunden bedienen zu können.

Die Antwort lautet folgendermaßen: „Hallo, hier sind die IMSI und die Adresse des Netzwerksegments, in dem der Empfänger derzeit zu finden ist. Schicke jetzt die Nachricht für die oben genannte IMSI an das MSC/VLR“. Während das passiert, wird auch die Adresse der HLR-Datenbank offensichtlich. Mit diesen Adressen und IDs kann ein Angreifer verschiedene Kommandos an das HLR schicken.

Ein Betrüger könnte zum Beispiel die ID einer Handy-Basisstation anfragen, die derzeit das Opfer bedient. Mit dieser einzigartigen ID und einer der zahlreichen Mobilkunden-Datenbanken im Internet kann er den exakten Aufenthaltsort des Opfers herausfinden – auf ein paar Dutzend Meter genau. Einige einfache Programme können diesen Prozess vollständig automatisieren. Dabei muss nur die Handynummer eingegeben werden und man erhält einen Punkt auf der Karte.

Ein Angreifer könnte das HLR auch dazu bringen, sich mit einem anderen VLR zu verbinden und den falschen Wert einzugeben, so dass alle ankommenden Anrufe und Nachrichten blockiert werden. Und es gibt noch eine andere Möglichkeit: Die gewünschte MSC/VLR-Adresse einzugeben, die mithilfe einer „SS7 for Linux“-Software auf dem Computer des Betrügers emuliert wird, die öffentlich als Download zur Verfügung steht. Das eröffnet weitere Möglichkeiten zum heimlichen Abfangen von Anrufen und Nachrichten.

Wenn ein Angreifer dadurch eine SMS auf seinen eigenen Computer umgeleitet hat, gibt er dem Absendergerät keine Ankunftsbestätigung zurück, sondern schaltet den VLR zurück auf den eigentlichen Wert. Dadurch verbindet sich der Absende-Server erneut damit und liefert die SMS an den eigentlichen Empfänger. Dieses so genannte SMS-Hijacking ist eine gute Möglichkeit für Cyberkriminelle, um Einmal-Codes für die Zwei-Faktoren-Authentifizierung bei Online-Banking-Systemen abzufangen.

 

Bei Anrufen ist das sogar noch leichter: Mit Zugriff auf das HLR kann ein Angreifer eine bedingungslose Weiterleitung auf eine andere Telefonnummer einrichten, so dass der eigentlich Angerufene nie etwas davon mitbekommt. Die gleiche Methode erlaubt auch das Mithören von ausgehenden Anrufen – benötigt aber ein bisschen mehr Aufwand: Die Weiterleitung kann für das vom Opfer angerufene Telefon eingerichtet werden. Die Nummer wird registriert, wenn ein ausgehender Anruf mit der gewünschten Telefonnummer gestartet wird und an ein Zahlungssystem weitergeleitet wird, so dass die entsprechenden Gebühren in Rechnung gestellt werden können.

Wenn der Angreifer nun die Adresse des legitimen Zahlungssystems mit einer anderen Adresse vertauscht, kann er die angerufene Telefonnummer erkennen. Nachdem der erste Versuch nicht geklappt hat, kann das Opfer dann beim zweiten Versuch den Anruf durchstellen und denkt sich wahrscheinlich nichts dabei (BTW: Wenn Sie regelmäßig erst beim zweiten Versuch einen Anruf erfolgreich durchstellen können, ist das ein klares Zeichen dafür, dass jemand Sie abhört).

Übrigens hatten die aktuellen Fälle, bei denen geheime Anrufe von Politikern veröffentlicht wurden, auch nichts mit Überwachungsgeräten in deren Häusern und Geräten, oder mit Geheimagenten zu tun.

Die Auswirkungen, die diese Methode auf uns Normalbürger haben kann, sind auf kleine Diebstähle des Geldes vom Mobilfunkvertrag beschränkt. Das kann durch die Umleitung von Anrufen auf Premiumnummern, das Generieren von Datenverkehr und den Versand gefälschter USSD-Kommandos erreicht werden, die den Transfer kleiner Summen ermöglichen.

Wie schon erwähnt, gibt es keine hundertprozentige Lösung für dieses Problem. Es ist immer schon vorhanden, seit das Protokoll eingeführt wurde. Nur eine fundamentale Änderung der Art, wie die mobile Kommunikation funktioniert, könnte eine Möglichkeit zur Lösung bieten.

Aber es gibt eine andere Möglichkeit, die mit der Einführung eines komplexen Überwachungssystems der Nutzeraktivitäten zu tun hat, das potenziell schädliche Aktivitäten erkennen kann. Eine Reihe von IT-Firmen bieten dafür automatisierte Systeme, die im Grunde an Anti-Betrugs-Plattformen erinnern, wie sie von Banken verwendet werden.

Das Problem sind die Mobilfunkbetreiber

Die Netzbetreiber haben es nicht eilig, solche Systeme einzuführen, und die Kunden fragen sich, ob sie vor solchen Angriffen geschützt sind oder nicht. Selbst wenn Sie die Sicherheitsmaßnahmen Ihres primären Netzanbieters kennen, können Sie nicht sicher sein, dass Sie im Fall von Roaming-Verbindungen noch genauso geschützt sind.

Sie sollten sich also an die einfache Regel halten, mit der Sie verhindern, dass Geheimnisse in die Hände von Kriminellen fallen: Sprechen Sie am Telefon nicht über vertrauliche Dinge. Stellen Sie sich vor, Sie würden darüber auf YouTube sprechen. Und um sichere SMS zu empfangen, die über eine Zwei-Faktoren-Authentifizierung geschickt wurden, verwenden Sie einfach eine zweite SIM-Karte mit einer Nummer, die nur Sie und Ihre Vertrauten kennen.