Intercettazione delle chiamate SS7

Il centro di commutazione mobile MSC normalmente detiene le chiavi di crittografia utilizzate da ciascun abbonato per stabilire la chiamata. Quando l'abbonato è in movimento, un processo di handover facilita la transizione senza problemi dell'abbonato tra le diverse celle radio, mantenendo l'avanzamento della chiamata.

In alcuni casi l'abbonato si sposta da una cella a un'altra gestita da un VLR diverso. In questo caso, il nuovo VLR non dispone inizialmente delle informazioni di autenticazione che faciliterebbero la conservazione della chiamata, per cui è necessario un processo di handover tra MSC per trasferire le chiavi al nuovo MSC.

Questo avviene tramite un messaggio MAP chiamato sendIdentification. Il nuovo VLR invia un messaggio sendIdentification al vecchio VLR, che a sua volta risponde con le chiavi necessarie per mantenere la chiamata in corso. Tra queste chiavi c'è quella utilizzata per criptare il traffico via etere. Nello scenario di attacco, l'aggressore cattura il traffico dell'obiettivo attraverso l'interfaccia aerea (che richiede la vicinanza fisica dell'obiettivo).

Avendo accesso all'SS7, può quindi utilizzare il messaggio sendIdentification per recuperare le chiavi di decodifica dell'obiettivo e usarle per decodificare il traffico. Il messaggio sendIdentification è necessario solo all'interno della rete interna durante la fase di
passaggi di consegne. Non deve essere utilizzato legittimamente dall'esterno e quindi deve essere filtrato al confine.

Intercettazione delle chiamate in uscita

La GSM Service Control Function (gsmSCF) è un'entità funzionale che contiene la logica del servizio CAMEL che decide con certezza, per una determinata serie di eventi, se l'azione desiderata può continuare modificata, non modificata o interrotta. Può essere utilizzata, ad esempio, per modificare i numeri in uscita per aggiungere il prefisso o il formato internazionale.

Un utente malintenzionato con accesso a SS7 può utilizzare un messaggio insertSubscriberData per modificare l'indirizzo gsmSCF dell'abbonato in un indirizzo sotto il suo controllo. L'aggressore è quindi in grado di riscrivere i numeri composti in uscita su un numero sotto il suo controllo. In questo caso, l'aggressore riceve la chiamata in uscita, la registra prima di inoltrare il traffico alla destinazione finale.

Intercettazione - Traffico in entrata - Trasferimento di chiamata

Il messaggio registerSS viene utilizzato per registrare servizi supplementari per un abbonato. Uno di questi servizi è il servizio di inoltro delle chiamate. Un utente malintenzionato può utilizzare il messaggio registerSS per attivare l'inoltro di chiamata verso un numero sotto il suo controllo. Una volta ricevuta la chiamata, l'aggressore utilizza il messaggio eraseSS per rimuovere l'inoltro di chiamata e quindi inoltrare la chiamata all'abbonato. In questo modo l'aggressore è in grado di intercettare e registrare la chiamata.