Interceptación de llamadas SS7

El centro de conmutación móvil MSC normalmente posee las claves de cifrado utilizadas por cada abonado para poder establecer la llamada. Cuando el abonado se desplaza, un proceso de traspaso facilita la transición fluida del abonado entre las distintas células de radio al tiempo que se mantiene el progreso de la llamada.

En algunos casos, el abonado se desplaza de una célula a otra gestionada por un VLR diferente. En este caso, el nuevo VLR no dispone inicialmente de la información de autenticación que facilitaría la preservación de la llamada, por lo que es necesario un proceso de traspaso entre MSC para transferir las claves al nuevo MSC.

Esto se hace a través de un mensaje MAP llamado sendIdentification. El nuevo VLR envía un mensaje sendIdentification al antiguo VLR, que a su vez responde con las claves necesarias para mantener la llamada en curso. Entre estas claves se encuentra la utilizada para cifrar el tráfico aéreo. En el escenario de ataque, el atacante captura el tráfico del objetivo a través de la interfaz aérea (lo que requiere proximidad física del objetivo).

Con acceso a SS7, puede utilizar el mensaje sendIdentification para recuperar las claves de descifrado del objetivo y utilizarlas para descifrar el tráfico. El sendIdentification sólo es necesario dentro de la red interna durante
traspasos. No debe tener un uso legítimo desde el exterior y, por tanto, debe filtrarse en la frontera.

Interceptación de llamadas salientes

La función de control de servicio GSM (gsmSCF) es una entidad funcional que contiene la lógica de servicio CAMEL que decide con certeza para un determinado conjunto de eventos si la acción deseada puede continuar modificada, sin modificar o abortada. Puede utilizarse, por ejemplo, para modificar los números salientes para añadir el prefijo o el formato internacional.

Un atacante con acceso a SS7 puede utilizar un mensaje insertSubscriberData para cambiar la dirección gsmSCF del abonado a una dirección bajo su control. El atacante es entonces capaz de reescribir los números marcados salientes a un número bajo su control. En este caso, el atacante recibirá la llamada saliente, grabará la llamada antes de reenviar el tráfico al destino final.

Interceptación - Tráfico entrante - Desvío de llamadas

El mensaje registerSS se utiliza para dar de alta servicios complementarios a un abonado. Uno de estos servicios es el desvío de llamadas. Un atacante puede utilizar el mensaje registerSS para activar el desvío de llamadas a un número bajo su control. Al recibir la llamada, el atacante utiliza el mensaje eraseSS para eliminar el desvío de llamada y reenviarla de nuevo al abonado. De este modo, el atacante puede interceptar y grabar la llamada.