Interception invisible de messages courts
De nombreux services utilisent cependant le SMS comme une station. Par exemple, les institutions bancaires utilisent les SMS pour obtenir des envois OTP (One Time Password), les réseaux sociaux - comme la récupération de mots de passe, les messageries - pour obtenir l'accès à l'application. L'attaque détruit l'abonné qui est en train de dériver dans un réseau social. Même le HLR comprend une liste de l'endroit où se trouve cet abonné et où des appels téléphoniques et des messages SMS ont été envoyés. En cas de prévision, l'effort échoue, même si le réseau réinscrit l'abonné dans son propre réseau domestique. L'attaquant découvre qu'il peut reproduire l'attaque pour faire échouer l'effort d'appel. Si les attaquants bloquent la section du réseau qui sera signalée à un MSC, ils pourront intercepter les messages SMS de fin de communication et détourner les appels téléphoniques vocaux asynchrones.
Une fois l'inscription terminée, tous les SMS sont envoyés dans la section du réseau signalée comme MSC et VLR à partir du concept de signalisation UpdateLocation.
L'abonné attaqué peut retourner dans le réseau domestique dès que l'un des événements suivants est déclenché :
- Appel sortant ;
- SMS sortant ;
- Déplacement vers la zone couverte par un autre commutateur mobile ;
- Redémarrage du téléphone portable.
Du point de vue de l'attaquant, conserver l'abonné inscrit dans le "faux" réseau n'est pas fiable, car il n'est pas possible de prévoir toutes les activités de l'abonné.
L'attaque détruit un abonné inscrit dans un réseau distinct, de sorte que votre MSC/VLR actuel peut être utilisé pour les appels téléphoniques vocaux ainsi que pour l'envoi de messages SMS, et qu'un faux MSC peut être utilisé pour l'envoi de messages SMS de terminaison.
Les pirates pourraient utiliser ce système pour attaquer les services de différents programmes (par exemple, le compte d'une institution financière) qui utilisent les SMS pour permettre à une station de voir les clients de certaines équipes. Si l'intrus contrôle la section du réseau qui sera signalée comme étant un nouveau MSC, il est en mesure d'intercepter les messages SMS de fin d'appel fournis avec des services tels que les services bancaires mobiles, la récupération de mots de passe pour les services Web, l'accès aux codes d'accessibilité tels que les messageries, etc. Toutes ces manipulations tendent à ne pas empêcher l'abonné attaqué de créer des appels téléphoniques émergents et de délivrer des SMS, mais les SMS sont dirigés vers l'adresse du MSC.
De plus, cette vulnérabilité est également bien comprise, et la plupart des fournisseurs de pare-feu SS7 s'efforcent d'empêcher l'inscription dans de "faux" réseaux. En général, le mécanisme d'un pare-feu SS7 repose sur sa base de données contenant les emplacements des abonnés existants. En outre, un pare-feu SS7 doit disposer d'une table de débit représentant une période permettant d'atteindre pratiquement tous les pays. La vitesse entre deux réseaux allemands est de zéro ; la vitesse entre Madagascar et l'Allemagne sera encore de 8, c'est-à-dire la durée d'un voyage, etc.
Une fois qu'une communication UpdateLocation a été obtenue du réseau, le pare-feu SS7 extrait l'information à partir de l'identifiant IMSI de l'abonné ainsi que de l'adresse d'un certain VLR", préfixe qui peut probablement bientôt être utilisé pour trouver la valeur du tarif.
Ensuite, le pare-feu SS7 recherche activement l'emplacement de l'abonné dans la base de données. Le pare-feu SS7 porte le préfixe VLR et l'utilise comme secret pour spécifier exactement le prix de la vitesse ; il calcule également la période d'inscription et le transfert de la période entre le moment présent et le moment présent. Si le décalage temporel est plus court que la valeur de la vitesse, le matériel UpdateLocation est considéré comme agressif et doit être bloqué. La communication UpdateLocation doit être autorisée.
Pour contourner ce mécanisme de protection, le malfaiteur peut inscrire l'abonné dans le "faux" réseau et restaurer uniquement l'adresse MSC, en essayant de conserver la véritable adresse VLR. Ainsi, l'attention portée à cette seule adresse VLR n'est peut-être pas suffisante pour déterminer si les visiteurs ciblés doivent être bloqués. L'inscription avec les adresses MSC et VLR est beaucoup plus fiable pour l'intrus et permet de contourner certains pare-feu SS7 avec des règles.
Comme nous pouvons facilement le constater, un certain nombre de firewalls SS7 ne sont pas des programmes de sécurité fiables, même si le fait que la marque de l'attaque est facile.