Interceptação de chamadas SS7

O MSC da central de comutação móvel normalmente detém as chaves de criptografia usadas por cada assinante para poder estabelecer a chamada. Quando o assinante está em movimento, um processo de handover facilita a transição suave do assinante entre as diferentes células de rádio, mantendo o progresso da chamada.

Em alguns casos, o assinante muda de uma célula para outra que é gerenciada por um VLR diferente. Nesse caso, o novo VLR não tem inicialmente as informações de autenticação que facilitariam a preservação da chamada, portanto, é necessário um processo de transferência entre MSCs para transferir as chaves para o novo MSC.

Isso é feito por meio de uma mensagem MAP chamada sendIdentification. O novo VLR envia uma mensagem sendIdentification para o VLR antigo, que, por sua vez, responde com as chaves necessárias para manter a chamada em andamento. Entre essas chaves está a chave usada para criptografar o tráfego pelo ar. No cenário de ataque, o invasor captura o tráfego dos alvos pela interface aérea (exigindo proximidade física do alvo).

Com acesso ao SS7, ele pode usar a mensagem sendIdentification para recuperar as chaves de descriptografia do destino e usá-las para descriptografar o tráfego. A mensagem sendIdentification só é necessária dentro da rede interna durante
transferências. Ele não deve ter uso legítimo de fora e, portanto, deve ser filtrado na fronteira.

Interceptação de chamadas efetuadas

A função de controle de serviço GSM (gsmSCF) é uma entidade funcional que contém a lógica de serviço CAMEL que decide com certeza, para um determinado conjunto de eventos, se a ação desejada pode continuar modificada, inalterada ou abortada. Ela pode ser usada, por exemplo, para modificar números de saída para adicionar o código de área ou o formato internacional.

Um invasor com acesso ao SS7 pode usar uma mensagem insertSubscriberData para alterar o endereço gsmSCF do assinante para um endereço sob seu controle. O invasor pode, então, reescrever os números discados de saída para um número sob seu controle. Nesse caso, o invasor receberá a chamada de saída, gravará a chamada antes de encaminhar o tráfego para o destino final.

Interceptação - Tráfego de entrada - Encaminhamento de chamadas

A mensagem registerSS é usada para registrar serviços suplementares para um assinante. Um desses serviços é o serviço de encaminhamento de chamadas. Um invasor pode usar a mensagem registerSS para ativar o encaminhamento de chamadas para um número sob seu controle. Ao receber a chamada, o invasor usa a mensagem eraseSS para remover o encaminhamento de chamadas e, em seguida, encaminhar a chamada de volta ao assinante. Dessa forma, o invasor pode interceptar e gravar a chamada.