Kilka dni temu grupa pięciu naukowców z uniwersytetów z Niemiec oraz Finlandii opublikowała efekty swojego projektu pod nazwą "Praktyczne ataki na prywatność i dostępność w systemie komunikacji komórkowej 4G/LTE". Jednym z efektów ich badań jest opracowany przez nich IMSI Catcher, który umożliwia m.in. śledzenie lokalizacji i przechwytywanie komunikacji w telefonii komórkowej. Według badaczy jest to pierwszy przypadek przeprowadzenia praktycznego ataku na 4G/LTE. Atak ten umożliwiły podatności odkryte w tym roku, podczas prowadzonych badań nad standardem LTE oraz opracowany IMSI Catcher.
IMSI Catcher to urządzenie, które korzystając z ataku typu Man-In-The-Middle potrafi przechwycić ruch telefonii komórkowej bez wiedzy użytkownika. Z urządzeń tego typu korzystają służby porządkowe, specjalne i wywiadowcze na całym świecie (w USA i Wielkiej Brytanii urządzenia te występują także pod nazwą StingRay - opracowane i zbudowane przez Harris Corporation). Wracając jednak do tematu naszego artykułu, naukowcy opracowali tego rodzaju urządzenie wykorzystując do badań:
- Platformę USRP B210 firmy Ettus Research;
- Darmowe oprogramowanie OpenLTE;
- Laptop (Lenovo Thinkpad x230 - Intel i7);
- Darmowy system operacyjny Ubuntu 14.04;
- Kilka telefonów komórkowych różnych producentów.
Koszt platformy typu USRP wykorzystanej jako IMSI Catcher to około 5000 złotych, co w porównaniu do innych urządzeń komercyjnych tego typu (koszt niektórych to nawet 400 000$) jest znikomym wydatkiem. Z powodu częstotliwości próbkowania sygnału 30.72 Mhz i jego bezstratnego przechwytywania, badacze wykorzystali dość mocny komputer przenośny wyposażony w procesor Intel i7.
Celem przeprowadzania pół-pasywnych ataków przez Internet, skorzystali oni z całkowicie nowego rozwiązania - wykorzystali aplikacje mobilne Facebook oraz Whatsapp, a ponadto korzystali z ukrytych wiadomości tekstowych (SMS) i połączeń na atakowane telefony komórkowe. Dzięki wykorzystaniu aplikacji mobilnych Facebooka, odkryli oni zaskakującą zależność. Przykładowo: jeśli ktoś, kto nie jest twoim znajomym na Facebooku wysyła wiadomości błyskawiczne, Facebook umieszcza je w folderze "Inne" jako mechanizm ochrony przed spamem (chyba, że spamer płaci Facebookowi - około 1€!). Jeśli natomiast użytkownik ma aplikację Facebook Messenger zainstalowaną na smartfonie LTE, to przychodzące wiadomości, w tym te przeznaczone do folderu "Inne", wywołują żądanie stronicowania pozwalając atakującemu na połączenie TMSI (identyfikator przydzielany użytkownikowi GSM) z tożsamością na Facebooku i śledzenia ruchów ofiary. Co więcej, naukowcy zauważyli, że TMSI nie są zmieniane wystarczająco często - na obszarze zurbanizowanym obsługiwanym przez wielu operatorów komórkowych, utrzymywały się one przez okres nawet do trzech dni! Innymi słowy, gdy atakujący zna TMSI, może on biernie śledzić ruchy ofiary przez okres trzech dni.
Naukowcom poprzez ataki pasywne (L1 i L2) udało się namierzyć i śledzić telefony komórkowe z obszaru zurbanizowanego o powierzchni około 2 km² oraz określać ich dokładną pozycję przy użyciu ataków aktywnych (L3). Wszystkie testowane przez badaczy telefony komórkowe były podatne na ataki.
Badacze współpracują z odpowiednimi organizacjami, mającymi na celu wyeliminowanie podatności w standardzie 4G/LTE. Podatności te zostały zgłoszone już w czerwcu i lipcu 2015 roku.
Platforma USRP B210 (źródło: www.ettus.com) |
Celem przeprowadzania pół-pasywnych ataków przez Internet, skorzystali oni z całkowicie nowego rozwiązania - wykorzystali aplikacje mobilne Facebook oraz Whatsapp, a ponadto korzystali z ukrytych wiadomości tekstowych (SMS) i połączeń na atakowane telefony komórkowe. Dzięki wykorzystaniu aplikacji mobilnych Facebooka, odkryli oni zaskakującą zależność. Przykładowo: jeśli ktoś, kto nie jest twoim znajomym na Facebooku wysyła wiadomości błyskawiczne, Facebook umieszcza je w folderze "Inne" jako mechanizm ochrony przed spamem (chyba, że spamer płaci Facebookowi - około 1€!). Jeśli natomiast użytkownik ma aplikację Facebook Messenger zainstalowaną na smartfonie LTE, to przychodzące wiadomości, w tym te przeznaczone do folderu "Inne", wywołują żądanie stronicowania pozwalając atakującemu na połączenie TMSI (identyfikator przydzielany użytkownikowi GSM) z tożsamością na Facebooku i śledzenia ruchów ofiary. Co więcej, naukowcy zauważyli, że TMSI nie są zmieniane wystarczająco często - na obszarze zurbanizowanym obsługiwanym przez wielu operatorów komórkowych, utrzymywały się one przez okres nawet do trzech dni! Innymi słowy, gdy atakujący zna TMSI, może on biernie śledzić ruchy ofiary przez okres trzech dni.
Obszar zurbanizowany wykorzystany przez badaczy do śledzenia GSM (źródło: www.https://se-sy.org) |
Naukowcom poprzez ataki pasywne (L1 i L2) udało się namierzyć i śledzić telefony komórkowe z obszaru zurbanizowanego o powierzchni około 2 km² oraz określać ich dokładną pozycję przy użyciu ataków aktywnych (L3). Wszystkie testowane przez badaczy telefony komórkowe były podatne na ataki.
Atak aktywny L3 wykorzystany do lokalizacji celu (źródło: www.https://se-sy.org) |
Ataki LTE - analiza podatności i potencjalne sposoby ich zapobiegania (źródło: www.https://se-sy.org) |
Strona internetowa projektu:
https://se-sy.org/projects/netsec/lte
Dokumentacja projektu i szczegóły techniczne:
http://arxiv.org/pdf/1510.07563v1.pdf
Specyfikacja urządzenia USRP B210:
https://www.ettus.com/content/files/b200-b210_spec_sheet.pdf
Dokumentacja projektu i szczegóły techniczne:
http://arxiv.org/pdf/1510.07563v1.pdf
Specyfikacja urządzenia USRP B210:
https://www.ettus.com/content/files/b200-b210_spec_sheet.pdf
Aplikacje na telefony komórkowe wykrywające urządzenia typu IMSI Catcher:
Źródło:
http://se-sy.org
http://arxiv.org
http://www.ettus.com
http://wikipedia.org
Zmyślne to i podstępne, nic dziwnego, że tej app'ki FB nie zainstalowałem do teraz. Szkoda, że sprzęt do "zabawy" dosyć drogi.
OdpowiedzUsuńSzanowna redakcja, jak to jest z legalnością radia programowalnego w Polsce? Gdzieś kiedyś mi się obiło, że nie do używanie jest zgodne z literą prawa. To dotyczy używanych częstotliwości czy samego urzadzenia?
OdpowiedzUsuńBędę wdzięczny za rozwianie wątpliwości.
Pozdrawiam,
Dominik
Słuchać można zawsze, choćby widelcem podłączonym kawałkiem zwoju drutu do głośnika. Radiem programowalnym albo nieprogramowalnym też - bez znaczenia. Nie wolno nadawać - generalnie, poza wyjątkami.
OdpowiedzUsuńNaruszenie tajemnicy telekomunikacyjnej (uzyskanie dostępu do przekazu przeznaczonego dla kogoś innego) jest również przestępstwem, kolego od widelca z głośnikiem.
OdpowiedzUsuńTu jest w polskim wykonaniu, co prawda nie LTE ale jednak...
OdpowiedzUsuńhttp://maniana.strefa.pl/2016/10/Mala-Stacja-Bazowa-GSM/
Bardzo ciekawy artykuł :)
OdpowiedzUsuń