Stačí telefónne číslo a hacker vás bude odpočúvať lepšie ako NSA

Chcete odpočúvať niečí telefón? Naštudujte si SS7

Hocikoho by napadlo, že v dnešnej dobe už niečo podobné nie je možné a hacking mobilných sietí sa odohráva leda v divokých scenároch hollywoodskych blockbusterov, v ktorých hacker naťuká pár magických čísel do telefónu a začne odpočúvať napríklad amerického kongresmana, avšak ono to skutočne ide.
Chcete odpočúvať niečí telefón?
Chcete si čítať cudzie SMS?
Chcete sledovať polohu nadriadeného?
Chcete telefonovať zadarmo?
Špecialisti z Positive Technologies už pred rokmi demonštrovali (PDF), že toto je aj dnes úplne možné a jediné, čo k tomu potrebujete, je telefónne číslo obete a prístup do systému SS7 (podrobnejšie v PDF).
Signaling System 7 je rodina signalizačných protokolov, ktorými sa riadia prakticky všetky deje v telefónnej sieti počnúc otváraním telefónnych spojení a končiac zasielaním SMS. SS7 dnes používajú prakticky všetci operátori na celom svete, s pomocou SS7 teda dorazí SMS z dovolenky v Chorvátsku až do Prahy a rovnako tak sa dovoláte napríklad do Grónska.
SS7 je rokmi overený systém, jeho základy totiž siahajú hlboko do minulosti analógovej telefónie.
Rovnako tak sa ale vie, že je to nehorázne deravý systém.
O mnohých z jeho zraniteľností sa už vie prakticky od začiatku 21. storočia a aliancie GSMA prepájajúci operátormi a výrobcu len opakuje, že síce plánuje jeho vylepšenia, ale sa to pretiahne až do budúceho desaťročia.
Niet sa čomu diviť, zmena protokolov, na ktorých stojí a padá súčasná mobilná telefónia realizovaná stovkami a tisíckami operátorov je totiž enormne zložitá.

Poznali len telefónne číslo, a napriek tomu Hackl kongresmanův iPhone

Deravé telefónne protokoly boli dlhé roky výhradne témou odborných konferencií, než sa však tento rok na jar v relácii 60 Minutes na CBS (len pre predplatiteľov) objavila reportáž, v ktorej hackeri z Positive Technologies úspešne zaútočili na iPhone kongresmana Teda Lieu,bez toho aby ho kedykoľvek dostali do rúk.

Stačilo im iba kongresmanovo číslo.
Špecialisti totiž mali zadné vrátka do systému SS7, ktorá im umožnila vykonať s mobilnou konektivitou telefónu prakticky čokoľvek počínajúc odposluchom a monitorovaním jeho polohy a končiac Jamming – blokáciou.
Telefón mal stále signál, ale kongresman si nezatelefonoval a neprijal jediný hovor, pretože hackeri vyslali do siete signál, aby sa klient nemohol spojiť.
Aliancia GSMA nebije na poplach okrem iného z toho dôvodu, že k podobnému útoku síce človek nepotrebuje žiadne sofistikované zariadenie a celý systém SS7 je plne dokumentovaný, potrebuje však patričná práva. SS7 nie je pre každého, ale iba pre autorizované entity – operátormi. Problém spočíva v tom, že k nemu môže mať prístup kdejaký technik, ktorý môže byť motivovaný napríklad finančnou odmenou, alebo môžu hackeri získať prístup do signalizačnej siete č. 7 na čiernom trhu.

Odpočúvanie polohy podľa telefónneho čísla

Suma sumárum, vykonať takýto útok nie je tak jednoduché, ako keď script Kiddie spustí na Linuxe aircrack a odpojí suseda od Wi-Fi, lenže rovnako tak nemusíte byť NSA.
Hlavným rizikom je teda predovšetkým zneužitia zo strany organizovaného zločinu, ktorý má dostatočné finančné prostriedky.
Útok skrze SS7, ako ho demonštrovala skupina Positive Technologies, sa skladá z viacerých úrovní. 
Ak útočník na začiatku pozná iba telefónne číslo, v prvej vlne sa systému pomocou protokolu SMS opýta, aký má obeť IMSI – International Mobile Subscriber Indentity.

Útočník skrze SS7 získal podľa telefónneho čísla obeti jej IMSI a ďalšie identifikátory potrebné pre ďalšie útoky (Celý proces je vysvetlený v tomto PDF)

Akonáhle ho útočník získa, môže do mobilnej siete vyslať ďalšie dotaz a odpoveďou mu už budú lokalizačné údaje obete, teda predovšetkým CID – identifikátor BTS, u ktorého je telefón práve registrovaný.
Potom už stačí použiť niektorú z databáz (napríklad Wigle) a pozrieť sa, kde sa daný vysielač nachádza.

Pomocou IMEI obete môže útočník v ďalšom kroku získať údaje o BTS vysielači, ku ktorému je práve pripojený, a teda aj zemepisnú polohu

Ak by tento proces hacker automatizoval a požiadavka na lokalitu obete by sa zasielal treba každú štvrťhodinu, môže útočník obeť priebežne monitorovať a len sledovať pohybujúci sa bodka na mape.
A to bez toho, aby nešťastník čokoľvek zistil, akonáhle má totiž záškodník vstup do systému SS7, zasiela do neho úplne legitímne otázky.
Práve možnosť zasielania týchto neautorizovaných otázok je obrovskou slabinou celého systému.

Schéma odposluchu hovoru a SMS. To všetko SS7 umožňuje.

Odposluch, presmerovanie SMS i.
Je potom už len otázkou ďalšie sady príkazov.
A len zopakujem, že toto všetko je možné a zdokumentované už dlhé roky a nejedná sa o žiadnu novinku niekoľkých posledných mesiacov.
Problém teda spočíva v tom, že signalizačné príkazy SS7 môže zasielať každý člen siete a vstup do siete podľa Positive Technologies nie je pre organizovaný zločin teoreticky nijako zložitý – napríklad skrze niektorú z afrických krajín s chabou telekomunikačnej legislatívou.
Ako veľkou prekážkou to potom musí byť pre NSA a podobné agentúry?

{googleads none}

Pomocou SS7 možno zaútočiť aj na WhatsApp, Telegram a ďalšie mobilné IM

Posuňme sa teraz o pár týždňov ďalej.
Začiatkom apríla WhatsApp s veľkou pompou oznámil, že už umožňuje plne šifrovanú komunikáciu end-to-end.
To v praxi znamená, že sa chat šifruje v jednom telefóne a dešifruje v druhom, bez toho, aby prevádzkovateľ služby vlastnil kľúč.
Nemôže teda takú komunikáciu dešifrovať a to ani v prípade, že by ho o to požiadal treba súd, FBI, NSA a ďalšie autority.

Nadšenie z dokonale zabezpečeného WhatsApp však vydržalo len pár týždňov, začiatkom mája sa totiž znova ozvali špecialisti z Positive Technologies a konštatovali (obšírnejšie na Forbesu), že všetky šifrovanie WhatsApp obišli opäť skrze signalizačný systém SS7. A nielen WhatsApp, ale aj ďalšieho mobilného kecátka Telegram.

Schéma útoku skrze SS7: Útočník na seba najprv pomocou SS7 presmeruje autorizačné SMS
IM služby a pomocou nej sa potom prihlási treba k telegramov

 

Keďže autorizácia podobných aplikácií prebieha pomocou telefónneho čísla a prípadne SMS s autentifikačným kódom, stačilo presmerovať SMS obete na záškodnícke telefón a po príchode SMS s kódom sa pripojiť napríklad do jeho Telegramu.
Ak by si potom dve osoby písali z mobilu na mobil, všetok chat by sa zrkadlil aj na telefóne útočníka.
Telegramu to nepripadne divné, pretože jeden používateľ môže mať samozrejme viacero pripojených zariadení.

Problém by síce nastal u prebiehajúceho šifrovaného chatu, pretože pred jeho začatím si aplikácie na oboch stranách vymenili šifrovacie kľúče a záškodník u toho nebol, avšak pokiaľ sám začne chat, môže sa vydávať za obeť a už si šifrovane rozprávať s treťou osobou a ťahať z nej rozumy.
Trebárs: “Ahoj Dávid, zabudol som heslo na redakčný Twitter. Pošli mi ho pls Jakub. “

Útok na WhatsApp

{youtube}fDJ-88e_06A{/youtube}

Útok na Telegram

{youtube}dkvQqatURdM{/youtube}

Šanca nielen pre priemyselnú špionáž

Ako vidno, deravý nie je len počítač a operačný systém, na ktorom práve čítate tento článok, ale aj systémy mobilných sietí, o ktorých sa zase tak často nepíše a surferi tak nejako prirodzene predpokladajú, že do podobnej infraštruktúry sa len tak niekto nedostane.
A skutočne nedostane – vstup do SS7 bude pre bežného hackera-zelenáča pravdepodobne príliš veľké sústo, a zo strany nudiacich sa kolegov v práci vám tak nebezpečenstvo pravdepodobne nehrozí.
Inak tomu, ale môže byť pri organizovanom zločine a všeobecne trebárs finančne motivovaných hackerov, ktorí získajú prístup napríklad na čiernom trhu a môžu pomocou SS7 implementovať priemyselnú špionáž.
Dúfajte teda v to, že ste pre nich dostatočne nezaujímaví.
A tiež v to, že operátori na celom svete čo najskôr dohodnú nápravu a obmedzí SS7 len pre legitímne použitie.

Chránte sa proti odposluchom aj Vy.