31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor

Posted on Posted in 31C3 - CCC Event, Hacker News, SecConf

Auf dem Congress des Chaos Computer Clubs demonstrierten Hacker die Schwächen des SS7-Protokolls: Mit dem Signalsystem lassen sich Gespräche und SMS umleiten, entschlüsseln und abhören.

(Bild: dpa, Carsten Rehder)

SS7, die Schwachstelle im UMTS-Netz, steht seit ein paar Tagen erneut im Mittelpunkt – Angriffe über SS7 sind jedoch schon seit Jahren bekannt. Die Washington Post publizierte bereits im August einen Artikel über den kommerziellen Missbrauch von SS7. So bieten die Unternehmen an, Nutzer weltweit über ihr Handy überwachen zu lassen – der Kunde braucht lediglich die Telefonnummer seines Ziels. Im Wesentlichen konzentriert sich diese fragwürdige Dienstleistung auf das Tracking, also das Orten des Handys.

Der überwachte Nutzer kann kaum etwas gegen die Überwachung ausrichten, da nicht das Handy selbst angegriffen wird, sondern sein Provider die Verwaltungsdaten an Dritte überträgt. “Jeder, der ein Handy in der Tasche hat, nutzt SS7 zumindest indirekt”, erklärte CCC-Mitglied Tobias Engel, der sich in den vergangenen Monaten dem Problem gewidmet hatte. Und der Missbrauch ist alles andere als theoretisch: So berichtete Engel, dass ein ukrainischer Provider auf seinen Systemen das Abschöpfen von Telefonaten durch das SS7-Protokoll festgestellt habe.

Festnetztechnik für die mobile Welt

Das Protokoll stammt noch aus den 1980er Jahren, in denen Mobilfunk kaum eingesetzt wurde. Es dient dafür die Kommunikation über Providergrenzen hinweg zu koordinieren. Um den boomenden Mobilfunk dienen zu können, wurde das Protokoll um Funktionen ergänzt und immer mehr Firmen zugänglich gemacht. Das Problem: Da SS7 keine Authentifizierungsfunktionen kennt, kann jeder mit Zugriff auf das Netz damit anstellen, was er will.

Heute sind über 800 Firmen an dem Netz angeschlossen, die selbst wieder ein Netz an Kunden und Auftragnehmer haben, die jeweils wieder einen SS7-Zugang brauchen. Und darunter gibt es offensichtlich schwarze Schafe.

Der Funktionsumfang des Protokolls ist angesichts der fehlenden Sicherheitsmechechanismen erschreckend: So kann sich ein Teilnehmer im SS7-Netz nicht nur Standorte und Kommunikationsdaten übermitteln lassen, sondern auch Verschlüsselungscodes abschöpfen und Gespräche umleiten.

Mobilfunkexperte Karsten Nohl sieht durch die Attacke die Vorteile der 3G-Netze gegenüber dem inzwischen leicht knackbaren GSM aufgehoben. So konnten IMSI-Catcher zwar noch feststellen, wer sich im Umkreis aufhält, Gespräche über UMTS seien aber nicht ohne weiteres abhören gewesen. Nun reiche eine SS7-Abfrage um die Verschlüsselungskeys eines Ziels abzufragen und so Zugang zum Gespräch zu bekommen.

Wer umleitet, kann auch abhören

Engel demonstrierte das Missbrauchspotenzial auf dem Congress: So hatte er den Weg einiger Bekannter mit Hilfe des SS7-Systems getrackt – teilweise bis zum Congress-Zentrum in Hamburg. Zudem zeigte er, wie er ein Telefongespräch von einem Handy zu einem anderen umleiten konnte. Die Möglichkeit zum Umleiten ist gleichzeitig auch eine Lizenz zum Abhören: Denn das Gespräch kann über einen Proxy geleitet werden, der die gewünschte Verbindung herstellt und aufzeichnet. Woher er seinen SS7-Zugang bezogen hatte, ließ Engel offen.

Immerhin zeigen erste Provider mittlerweile Problembewusstsein. Laut Engel warfen deutsche Provider nach den Berichten über Missbrauch einen ersten kritischen Blick auf die SS7-Anfragen an ihr Netz und blockten die Funktion “Any Time Interrogation”, die zum Tracken jedes beliebigen Nutzers eingesetzt werden kann. Folge: Der SS7-Traffic sei um 80 Prozent gefallen.

“Einiges davon war auf simple Fehlkonfigurationen zurückzuführen”, sagte Engel. Es gab auch legitime Anwendungen, wie der Versuch einer Bank das Abschöpfen von mobilen TANs zu verhinden. Ein signifikanter Rest jedoch verbleibe – dies könnte Missbrauch wie die Überwachung Tausender Nutzer durch kommerzielle Anbieter oder staatliche Stellen sein.

Abschalten geht nicht

Das Problem: Die “Any Time Interrogation” ist nur eine Funktion, die den Standort eines Teilnehmers verrät – andere Befehle können das gleiche Ziel erreichen. So können Angreifer die Daten direkt beim für den Teilnehmer zuständigen Mobile services Switching Center (MSC) abrufen. Auch lassen sich nicht alle Funktionen deaktivieren, ohne die Funktionsfähigkeit des Mobilfunknetzes einzuschränken. Selbst so kritische Funktionen wie die Übertragung des Verschlüsselungscodes eines Mobiltelefons müssen für Dritte offenstehen, da sonst das Roaming zwischen Mobilfunknetzen nicht funktioniert.

Dennoch können Provider ihre Kunden weiter gegen Missbrauch der SS7-Funktionen absichern. So ist es unnötig, dass SS7 zum SMS-Versand die Daten eines Mobilfunkteilnehmers nach außen gibt. Überhaupt sollten die Provider überprüfen, welche Daten sie an andere Anbieter geben und wer auf ihre Daten zugreift.

Nohl forderte die Provider auf, Plausibilitäts-Checks einzuführen. Wenn ein Mobilfunkprovider aus seiner Datenbank wisse, dass sich ein Handy in Berlin befinde, gebe es keinen legitimen Grund, Anfragen nach dem Verschlüsselungskey vom anderen Ende der Welt zu beantworten. Zudem sollten die Provider zwielichtige Firmen ausschließen, indem sie bestimmte Anfragen nur noch beantworten, wenn sie von ihren Roaming-Partnern stammen.

Facebooktwittergoogle_plus