Невидиме перехоплення коротких повідомлень - атака SS7

Невидиме перехоплення коротких повідомлень

Проте багато послуг використовують SMS як станцію. Наприклад, банківські установи використовують SMS для отримання OTP (одноразового паролю), соціальні мережі - для відновлення паролів, месенджери - для доступу до заявок. Атака знищує абонента, який перебуває в дрейфі в соціальній мережі. Навіть HLR розуміє перелік свіжих місць розташування цього абонента, з яких здійснювалися телефонні дзвінки та надсилалися SMS-повідомлення. У випадку, якщо є прогноз, зусилля зазнають невдачі, навіть якщо мережа зараховує абонента назад у його власну домашню мережу. Зловмисник дізнається, що він може повторити атаку, щоб змусити абонента проігнорувати виклик. Якщо зловмисники обмежать ділянку мережі, на яку буде подано сигнал для отримання MSC, вони зможуть перехоплювати завершальні SMS-повідомлення, а також перенаправляти асинхронні голосові телефонні дзвінки.

 

Після завершення реєстрації всі SMS-повідомлення надсилаються в ділянку мережі, що сигналізується як MSC і VLR з концепції сигналізації UpdateLocation.

Атакований абонент може повернутися до домашньої мережі, як тільки спрацює одна з наступних подій:

  • Вихідний дзвінок;
  • Вихідне SMS;
  • Переміщення в зону дії іншого мобільного комутатора;
  • Перезавантажити мобільний телефон.

 

З точки зору зловмисника, утримання абонента в "фальшивій" мережі є ненадійним, оскільки неможливо передбачити всі дії свого абонента.

 

Атака знищує абонента, зареєстрованого в окремій мережі, тому ваш поточний MSC/VLR може бути використаний для голосових телефонних дзвінків, а також для відправлення SMS-повідомлень, а також фальшивий MSC може бути використаний для отримання SMS-повідомлень, що завершуються.

 

Зловмисники можуть використовувати це для атак на сервіси різних програм (наприклад, рахунок у фінансовій установі), які використовують SMS-повідомлення для того, щоб станція могла бачити клієнтів певної зміни. Якщо зловмисник контролює ділянку мережі, яка буде сигналізувати про отримання свіжого MSC, він може перехоплювати завершальні SMS-повідомлення, що доставляються такими сервісами, як мобільний банкінг, підбір паролів до веб-сервісів, доступ до кодів доступу до месенджерів і т.д.. Всі ці маніпуляції, як правило, не позбавляють атакованого абонента можливості створювати нові телефонні дзвінки та відправляти SMS-повідомлення, але SMS-повідомлення надходять на MSC-адресу.

 

Більше того, ця вразливість добре вивчена, і більшість провайдерів брандмауерів SS7 намагаються унеможливити реєстрацію у "фальшивих" мережах. Зазвичай, механізм роботи брандмауера SS7 базується на базі даних, що містить місцезнаходження існуючих абонентів. Крім того, брандмауер SS7 повинен володіти швидкісним обіднім столом, що представляє період, який можна досягти практично в будь-якій країні. Швидкість між двома німецькими мережами дорівнює нулю; швидкість між Мадагаскаром і Німеччиною буде все ще 8, що дорівнює тривалості подорожі, і т.д.

 

Після отримання повідомлення UpdateLocation з мережі, брандмауер SS7 витягує інформацію в результаті ідентифікатора абонента IMSI, а також адресу деякого VLR," префікс, який, ймовірно, незабаром, безсумнівно, може бути використаний, щоб натрапити на вартість тарифу.

 

Далі брандмауер SS7 активно шукає місцезнаходження абонента в базі даних. Навіть брандмауер SS7 має префікс VLR і використовує його в таємниці, щоб точно вказати ціну швидкості; також обчислює період реєстрації, а також період перенесення між вашим поточним часом. Якщо достатній часовий зсув є коротшим, ніж вартість швидкості, то матеріал UpdateLocation вважається агресивним і повинен бути заблокований. Спілкування на UpdateLocation повинно бути дійсно дозволено.

 

Щоб обійти цей захисний механізм, зловмисник може зареєструвати абонента у "фальшивій" мережі, відновивши лише MSC-адресу, намагаючись зберегти справжню VLR-адресу. Таким чином, увага до цієї VLR-адреси може виявитися недостатньою для того, щоб вирішити, чи потрібно перешкоджати відвідувачам цільового сайту. Зарахування разом з MSC і VLR адресами значно надійніше для зловмисника, а також допомагає обійти деякі брандмауери SS7 з правилами.

 

Оскільки ми можемо легко побачити, що ряд брандмауерів SS7 не є надійними захисними програмами, навіть незважаючи на те, що їх легко атакувати.