Behörden überwachen die Mobilgerätekommunikation mittels sogenannter IMSI-Catcher. Auf der BlackHat-Konferenz in London wurde gezeigt, dass nun scheinbar ein einfaches WLAN reicht, um Mobilgeräte kapern und überwachen zu können.
Ein IMSI-Catcher ist ein Gerät, welches die IMSI (International Mobile Subscriber Identity) von Mobilfunkgeräten abfragen und dessen Standort mitverfolgen kann. Auch ist ein Mithören von Mobilfunktelefonaten möglich. Der IMSI-Catcher meldet sich als Funkzelle, so dass das Mobilgerät sich dort einbucht. In der Vergangenheit konnte man davon ausgehen, dass IMSI-Catcher nur mit einem gewissen (finanziellen) Aufwand von Behörden bzw. Polizei/Geheimdienst eingesetzt werden können. Mittlerweile sind die Geräte jedoch billiger und kleiner, so dass sogar “Kriminelle” darauf zugreifen können. Zwischenzeitlich gibt es daher bereits Apps wie den IMSI-Catcher-Catcher (ICC), um IMSI-Catcher zu enttarnen (siehe diesen heise.de-Artikel und hier (Link entfernt)). Wie es ausschaut, muss nun die ganze Geschichte komplett neu gedacht werden. Ein simples WLAN reicht aus, um Mobilgeräte zu tracken.
IMSI-Catcher per WLAN
Auf der EU-BlackHat-Konferenz haben Piers O’Hanlon und Ravishankar Borgaonkar am 3. November 2016 in London ihre Erkenntnisse zum Thema IMSI-Catcher per WLAN vorgestellt. In der verlinkten PDF-Datei gehen die beiden auf klassische IMSI-Catcher und deren Funktionen ein. Anschließend zeigen sie, dass man das eigentlich nicht braucht, ein WLAN-Router reicht. Denn in modernen Smartphones (iOS, Android) werden die folgenden Protokolle:
- Extensible Authentication Protocol (EAP)
- Authentication and Key Agreement (AKA) protocols
unterstützt. Die Protokolle ermöglichen den Geräten eine automatische Verbindung mit öffentlichen WLAN-Hotspots herzustellen. Setzt man nun einen eigenen WiFi-Hotspot (ggf. mit einem populären Hotspot-Namen) auf, versuchen die Smartphones Verbindung mit diesem WLAN aufzunehmen und sich einzubuchen.
Sobald die Mobilgeräte per WiFi Verbindung mit dem Access-Point hergestellt haben, kann dieser die IMSI abfragen. Diese Nummer ist benutzerbezogen und ermöglicht die Bewegungen des Mobilgeräts und damit des Nutzers zu verfolgen.
WiFi-Calling ermittelt ebenfalls diese Unique Identity Number
Das WiFi-Calling Feature wird von einigen Mobilfunkprovidern unterstützt, um Telefongespräche per WLAN führen zu können. Dabei wird die Kommunikation per WLAN und Internet auf ein Edge Packet Data Gateway (EPDG) umgeleitet, welches die Telefonate dann abwickelt. Das Ganze wird über das IP security (IPSec) Protokoll verschlüsselt.
Auch diese Gespräche werden an Hand der IMSI-Nummer vom Mobilfunkanbieter identifiziert. Problem ist nun, dass das Internet Key Exchange (IKEv2)-Protokoll zur Authentifizierung gegenüber dem WLAN-Hotspot genutzt wird. Der Austausch erfolgt mittels EAP-AKA. Die Kommunikation ist zwar verschlüsselt, aber es werden keine Zertifikate zum Nachweis der Berechtigung verwendet. Damit sind “man in the middle”-Angriffe möglich und die IMSI-Nummer kann von Angreifern abgefangen werden.
Die Gegenmaßnahme gegen das Abfischen der IMSI-Nummer und die Bewegungsüberwachung ist bei einem Smartphone aber recht einfach: Einfach die WiFi-Calling-Funktion deaktivieren (geht nur, wenn man in Reichweite des eigenen WLAN-Routers ist). Und man könnte das WLAN deaktivieren, sobald man außer Reichweite des eigenen WLAN-Routers ist. Apple hat übrigens reagiert und in iOS 10 eine Änderungen implementiert. Damit können Mobilfunkgeräte eine Pseudo-Nummer statt der IMSI-Nummer senden, um sich gegenüber dem WLAN-Hotspot zu identifizieren. Details sind in diesem HackerNews-Beitrag sowie dem PDF-Dokument mit den Vortragsfolien zu entnehmen.
Ähnliche Artikel:
Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt
Backdoor in China-Phones “telefoniert nach Hause”
Das iPhone sendet heimlich die Anrufeliste an Apple