Mobilbrugeres ID-nummer kan opfanges fra almindeligt wifiudstyr
Black Hat, London. Det er muligt at trække IMSI-numre ud af mobiltelefoner via helt almindeligt wifi, har forskere fundet frem til.
IMSI står for International Mobile Subscriber Identity og er et unikt nummer, der ofte optræder på simkortet og identificerer abonnenten over for operatørnetværket.
På den igangværende sikkerhedskonference Black Hat Europe, som afholdes i London, har de to forskere Piers O'Hanlon og Ravishankar Borgaonk demonstreret, hvordan det med almindeligt wifi-udstyr er muligt at lave en særdeles prisvenlig udgave af det overvågningsudstyr til mobiltelefoner, der bliver kaldt for en IMSI-catcher.
En IMSI-catcher har flere gange været nævnt både i danske og udenlandske medier som falsk "mobilmast", altså en basestation, der kan bruges til at aflytte mobiltrafik med.
Alene det at opfange IMSI-nummeret giver dog i sig selv ikke adgang til indholdet af en mobil-samtale eller -datakommunikation.
Ikke desto mindre kan IMSI-nummeret give en idé om, hvem der befinder sig i et område, eksempelvis i forbindelse med en demonstration, på en konference, et politisk møde og så fremdeles.
Nummeret kan - givet den unikke karakter - anvendes som en slags real-life-cookie til at tracke personer.
IMSI giver mere info om individet bag telefonen
Der findes allerede et unikt nummer, som de fleste mobiltelefoner, populært sagt, broadcaster til alle, der gider høre på det. Det drejer sig om hardware-adressen MAC, som blandt andet knytter sig til wifi og bluetooth i mobile enheder.
MAC-adressen kan bruges til at tracke individuelle apparater med. Det bliver den også i forskellige sammenhænge.
IMSI-nummeret kan dog have nogle fordele set ud fra et overvågningsperspektiv, som MAC-adressen ikke har. Dels følger IMSI-nummeret sim-kortet.
Så hvis det bliver sat i en ny telefon forbliver nummeret altså det samme. Og dels indeholder IMSI-nummeret flere informationer i relation til et individs teleabonnement. Blandt andet en landekode for abonnementet.
Og endeligt er IMSI-nummeret knyttet til en person i form af mobilabonnementet og ikke et stykke hardware, som det er tilfældet med MAC-adressen.
Så hvis man - eksempelvis med en dommerkendelse i hånden - kan få adgang til en mobiloperatørs oplysninger, så er det muligt at knytte et navn til et IMSI-nummer.
»Man kunne argumentere for, at det ikke er så slemt. Men det kan knyttes til telefonnummeret,« siger den ene af forskerne Piers O'Hanlon til Version2.
I udgangspunktet kræver det dog særligt udstyr at få fingre i folks IMSI-numre. Eksempelvis skal udstyret fungere i det mobile frekvensbånd.
Til sammenligning kan MAC-adressen opfanges via en almindelig wifi-forbindesle i 2.4 GHz og 5GHz-båndet.
Billig IMSI-catcher
Men hvis mobiloperatøren understøtter mobil-trafik via wifi - hvilket ses stadigt oftere - så kan det gøre det muligt at narre IMSI-nummeret ud af en telefon via et ondsindet wifi-hotspot, som éksempelvis kan være en Raspberry Pi.
Mobiltrafik via wifi kan have flere fordele. Set fra et mobiloperatør-perspektiv aflaster trafik sendt over wifi det øvrige mobile netværk.
Og derudover kan wifi-trafikken øge mobildækningen indendøre, hvor mobilsignalerne ellers kan have svært ved at nå ind.
Der er to standardteknikker til sende mobiltrafikken over wifi - teknikkerne relaterer sig til sim-kortdata og ikke den almindelige situation, hvor en telefon automatisk kobler på et allerede lagret wifi-hotspot.
Den ene teknik kalder forskerne WiFi Network Access Control, den tekniske betegnelse er WLAN Direct IP Access. Denne teknik får telefonen til automatisk at forbinde sig til access points, som operatøren har godkendt.
Den anden teknik kalder forskerne WiFi-Calling, teknisk WLAN 3GPP IP Access.Teknikken gør det muligt at gennemføre mobilkald på wifi via operatørens gateway.
Forskerne demonstrerede under deres indlæg to proof-of-concepts for henholdsvis WLAN Direct IP Access og WLAN 3GPP IP Access, hvor en iPhone blev narret til automatisk at koble sig til et ondsindet wifi-hotspot for så at sende IMSI-nummeret.
Også Android-enheder og Windows Mobile-produkter skulle kunne narres til at udlevere deres IMSI-numre til et wifi-hotspot.
I forbindelse med præsentationen understregede forskerne, at det med teknikkerne alene er muligt at opsnappe IMSI-nummeret og altså ikke lytte med på selve kommunikationen.
Kontakt med producenter
De to forskere har i forbindelse med deres arbejde været i kontakt med blandt andet Google, Microsoft og Apple.
Sidstnævnte virksomheds produkter har ifølge Piers O'Hanlon vist sig særligt sårbare i forhold til den ene af angrebsteknikkerne, der involverer WLAN Direct IP Access.
Apple har i den forbindelse meddelt forskerne, at et fiks har fundet vej ind i iOS 10. Men før det slår igennem, skal det også understøttes af den pågældende operatør.
Men det er dog alligevel ikke helt lige til at nå til bunds i udfordringen med IMSI-numre sendt til wifi-hotspots, mener han.
»Det er et komplekst problem, så det involverer ikke bare telefonproducenter, men også operatørerne og forhandlerne,« siger han.
Mens de forskellige aktører får styr på de enkelte dele, er der flere ting brugerne kan gøre for at undgå, at de forkerte får fat i deres IMSI-nummer.
I iOS skulle der, hvad WiFi Network Access Control angår være en indstilling 'Auto-join' der kan slås fra, hvad angår Auto-WiFi networks.
I Android skulle der ligeledes i forhold til WiFi Network Access Control være en funktion til at glemme Auto-WiFi profiles.
Og i begge tilfælde skulle det kun være aktuelt, såfremt operatøren understøtter funktionen i første omgang.
I forhold til WiFi-Calling, så skulle det ifølge forskerne være muligt simpelthen at slå WiFi-calling-understøttelse fra i både iOS og Android.
Det sidste råd fra forskerne er i den drastiske ende, vil nogen nok mene.
»Slå WiFi fra i untrustede miljøer.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
