web-dev-qa-db-ja.com

偽のGSMネットワークで着信SMS /通話をキャッチする

現在LTEからGSMへのダウングレード攻撃を行っているプロジェクトに取り組んでいます。偽の基地局を作成するためにOpenLTEとOpenBTSを使用しています。

電話が偽のGSMネットワークに接続する場合、SMSであり、A5/0が使用されているため、通話は暗号化されません。VoIPプロバイダー経由で通信するようにアスタリスクを設定すると、たとえば、 「本物の」ネットワークにある他の電話へのSMSもちろん、私はそれらのメッセージを傍受できます。つまり、偽のGSMネットワークにある電話からの発信メッセージを読み取ることができます。

今質問:着信メッセージ(宛先としてVoIPプロバイダーに関連付けられている番号ではなく、「実際の」電話番号を持っているメッセージ)に対して同じように実行できますか?たとえば、Googleなどから送信された2FAコードを傍受できるようにします。私にはユーザーを偽装する方法がないので(秘密鍵がわからないため)、これは不可能だと思いますが、多分あなたには手掛かりがあります-GSMには非常に多くの脆弱性があり、そのうちの1つが役に立つ可能性がありますこのため。

3
slashcrypto

ここでの問題は、電話がプロバイダーのネットワークではなくネットワークに接続されていることです。プロバイダーの目には、電話はオフラインです。

代わりに、プロバイダーとの電話接続を、解読可能な十分に悪い暗号化にダウングレードする必要があります。最初に、3Gや4G/LTEなどの強力な暗号化バンドを妨害することから始め、そこから始めます。

別のオプションは、偽のBTSを介してプロバイダーへの電話の接続をプロキシすることです。可能かどうかはわかりませんが、BTSはプロバイダーのネットワークからは電話として表示され、プロバイダーからは電話として表示され、その間のすべてを(ログを記録しながら)プロキシします。 GSM暗号化の仕組みや、この方法で中間者になることができるかどうかについては、あまり詳しくありません。これを行うには、おそらくカスタムコードを記述する必要があります。

最後に、別のオプションは、SS7を介して通話/テキストをハイジャックすることです。これには、グローバルSS7ネットワークへのアクティブな接続が必要です。その後、基本的にプロバイダーに「私はローミングパートナーの1人であり、お客様は私たちのネットワークに接続したばかりです」と言い、プロバイダーのネットワークからすべての通話が送信されます。電話やSIMは必要ありません。IMEIとIMSIを知っていれば、どの携帯でもそれを行うことができます。これは、電話がまだネットワーク上にある場合でも機能します。ネットワークインフラストラクチャは、BTSに接続された電話が別のプロバイダーでローミングできず、恐らく攻撃者であることを認識できるほどスマートであると思われますが、Ericsson、Alcatelなどの馬鹿たちはそうではないと考えました。

1)詐欺の顧客がより重要なので、なぜこれに無駄な時間を費やすのか、2)ネットワークインフラストラクチャが非常に脆弱であるため、おそらく最後のオプションはおそらくキャリアから許可を得ない限り違法です 良性のものはネットワーク全体をダウンさせる可能性があります そして彼らは明らかにそれを望んでいません。たとえば、異なる国でまったく関係のないペンテストがHLRを数時間クラッシュさせた(つまり、ネットワーク全体をダウンさせた)Telenorインシデントを参照してください。

–分析により、クラッシュ時に不規則なシグナリングがTelenorネットワークに送信されたことが明らかになりました。この不規則な信号は別の国際事業者から送信されたもので、めったに表示されない種類のメッセージが含まれていたと同社は声明で述べている。 –同社によれば、エリクソンがTelenorのモバイルネットワークに配信したソフトウェアでこの信号が誤って解釈され、モバイルトラフィックの一部が停止したとのことです。

P1 Securityの presentations SS7について確認することをお勧めします。関連/提案されたものも興味深いので、必ずチェックして、上記で説明した攻撃のいくつかの概要を説明してください。

4
André Borie