Capturar SMS / Llamadas entrantes en una red GSM falsa

3

Actualmente estoy trabajando en un proyecto en el que estoy realizando un ataque de baja calificación de LTE a GSM. Estoy usando OpenLTE y OpenBTS para crear las estaciones base falsas.

Cuando el teléfono se conecta a la red GSM falsa, los SMS y las llamadas no se cifran porque se usa A5 / 0. Cuando configuro Asterisk para comunicarse a través de un proveedor de VoIP, es posible enviar, por ejemplo, SMS a otros teléfonos que estén en una red "real". Por supuesto, puedo interceptar esos mensajes, lo que significa que puedo leer los mensajes salientes de los teléfonos que se encuentran en mi red GSM falsa.

Ahora la pregunta: ¿Es posible hacer lo mismo para los mensajes entrantes (que tienen como destino mi número de teléfono "real" y no el número asociado con mi proveedor de VoIP) ? Para poder, por ejemplo, interceptar los códigos 2FA enviados desde Google o lo que sea. En mi opinión, esto no es posible porque no tengo forma de hacerme pasar por el usuario (porque no conozco la clave secreta) pero quizás ustedes tengan una pista: hay muchas vulnerabilidades en GSM, tal vez una de ellas puede ser útil. para esto.

    
pregunta slashcrypto 07.04.2017 - 13:23
fuente

1 respuesta

4

El problema aquí es que el teléfono está conectado a su red en lugar de a la red del proveedor. A los ojos del proveedor, el teléfono está desconectado.

Lo que debe intentar hacer es, en cambio, degradar la conexión del teléfono al proveedor a un cifrado lo suficientemente malo como para que pueda descifrarlo. Primero comenzaría con interrumpir las fuertes bandas de encriptación como 3G y 4G / LTE, y continuar desde allí.

Otra opción es establecer la conexión del teléfono con el proveedor a través de su BTS falso. No estoy seguro de si es posible, pero la idea es que su BTS aparezca como un teléfono en la red del proveedor mientras aparezca como el proveedor para el teléfono, y que sirva de proxy entre todo (mientras se registra). No estoy tan familiarizado con cómo funciona el cifrado GSM y si es posible convertirse en un intermediario de esta manera. Es muy probable que tengas que escribir un código personalizado para hacer esto.

Finalmente, otra opción es secuestrar llamadas / textos a través de SS7. Esto requiere una conexión activa a la red global de SS7, y luego básicamente le dice al proveedor "hey, soy uno de sus socios de roaming y su cliente recién conectado a nuestra red" y la red del proveedor ahora le enviará todas sus llamadas. Ni siquiera necesita tener el teléfono o la tarjeta SIM, y puede hacerlo con cualquier teléfono móvil siempre que conozca su IMEI e IMSI. Esto funciona incluso si el teléfono todavía está en su red . Usted diría que la infraestructura de red es lo suficientemente inteligente como para darse cuenta de que un teléfono conectado a su BTS no puede estar en otro proveedor y probablemente es un atacante que hace cosas desagradables, pero los idiotas de Ericsson, Alcatel & Pensé lo contrario.

Obviamente, la última opción es probablemente ilegal a menos que tenga un permiso del operador que probablemente nunca obtendrá, porque 1) estafar a los clientes es más importante, ¿por qué perder el tiempo en esto y 2) la infraestructura de la red es tan frágil que incluso? las cosas benignas pueden hacer que toda la red caiga y, obviamente, no quieren eso. Por ejemplo, vea el incidente de Telenor donde un pentest totalmente no relacionado en país diferente estrelló su HLR (y por lo tanto redujo la red completa) durante varias horas:

  

- El análisis revela que en el momento del bloqueo se envió una señal irregular a la red de Telenor. Esta señalización irregular fue enviada por otro operador internacional y contenía tipos de mensajes que aparecen muy raramente, dijo la compañía en un comunicado.   - Esta señalización fue malinterpretada en el software que Ericsson entregó a la red móvil de Telenor y llevó a que se detenga parte del tráfico móvil, según la compañía, que indica que el error se corrigió.

Le sugiero que revise las presentaciones de P1 Security sobre SS7. Asegúrese también de revisar los relacionados / sugeridos, ya que son interesantes y describa algunos de los ataques que describí anteriormente.

    
respondido por el André Borie 07.04.2017 - 15:09
fuente

Lea otras preguntas en las etiquetas