Interception des appels SS7

Le centre de commutation mobile MSC détient normalement les clés de cryptage utilisées par chaque abonné pour pouvoir établir l'appel. Lorsque l'abonné se déplace, un processus de transfert facilite la transition en douceur de l'abonné entre les différentes cellules radio tout en maintenant la progression de l'appel.

Dans certains cas, l'abonné passe d'une cellule à une autre qui est gérée par un VLR différent. Dans ce cas, le nouveau VLR ne dispose pas initialement des informations d'authentification qui permettraient de préserver l'appel, d'où la nécessité d'un processus de transfert entre MSC pour transférer les clés au nouveau MSC.

Cette opération s'effectue au moyen d'un message MAP appelé sendIdentification. Le nouveau VLR envoie un message sendIdentification à l'ancien VLR, qui répond à son tour avec les clés nécessaires pour maintenir l'appel en cours. Parmi ces clés figure la clé utilisée pour crypter le trafic aérien. Dans le scénario d'attaque, l'attaquant capture le trafic de la cible via l'interface aérienne (ce qui nécessite la proximité physique de la cible).

Avec l'accès au SS7, il peut alors utiliser le message sendIdentification pour récupérer les clés de décryptage de la cible et les utiliser pour décrypter le trafic. Le message sendIdentification n'est nécessaire qu'à l'intérieur du réseau interne pendant la durée de la transmission.
les transferts. Il ne doit pas avoir d'utilisation légitime de l'extérieur et doit donc être filtré à la frontière.

Interception des appels sortants

La fonction de contrôle du service GSM (gsmSCF) est une entité fonctionnelle qui contient la logique du service CAMEL qui décide avec certitude, pour un certain ensemble d'événements, si l'action souhaitée peut continuer à être modifiée, non modifiée ou interrompue. Elle peut par exemple être utilisée pour modifier les numéros sortants afin d'ajouter l'indicatif régional ou le format international.

Un pirate ayant accès à SS7 peut utiliser un message insertSubscriberData pour changer l'adresse gsmSCF de l'abonné en une adresse qu'il contrôle. L'attaquant est alors en mesure de réécrire les numéros composés sortants pour les remplacer par un numéro qu'il contrôle. Dans ce cas, l'attaquant recevra l'appel sortant, l'enregistrera avant de transférer le trafic vers la destination finale.

Interception - Trafic entrant - Renvoi d'appel

Le message registerSS est utilisé pour enregistrer des services supplémentaires auprès d'un abonné. L'un de ces services est le service de renvoi d'appel. Un pirate peut utiliser le message registerSS pour activer le renvoi d'appel vers un numéro qu'il contrôle. Lorsqu'il reçoit l'appel, il utilise le message eraseSS pour supprimer le renvoi d'appel et renvoyer l'appel à l'abonné. De cette manière, il peut intercepter et enregistrer l'appel.