'Veiligheidslekken in 4g- en 5g-netwerken laten afluisteren en lokalisering toe'

Drie nieuw ontdekte veiligheidslekken in 4g- en 5g-netwerken zouden kwaadwillenden in staat stellen om telefoongesprekken af te luisteren en om de locatie van het mobiele toestel te achterhalen. De kwetsbaarheden zijn blootgelegd door een groep academici in Amerika.

Volgens de onderzoekers treffen de problemen zowel de huidige 4g-infrastuctuur als de aankomende 5g-standaard, die behalve hogere snelheden, schreef The Hill eerder, juist meer veiligheid zou moeten garanderen. Beveiligingsexperts stellen dat 5g-netwerken met name een betere bescherming bieden tegen zogeheten Stingray-spionage, waarbij gebruik wordt gemaakt van nep-basisstations voor mobiele communicatie. Uit een zopas gepubliceerde paper van wetenschappers aan de Amerikaanse Purdue University en de University of Iowa blijkt echter dat bepaalde aanvalstechnieken ook deze beveiligingslaag kunnen verslaan.

"Iedereen met een beetje kennis van cellular paging protocollen kan een dergelijke aanval uitvoeren", vertelt onderzoeker Syed Rafiul Hussain in een e-mail aan TechCrunch. Volgens hem zijn er drie soorten aanvallen ontdekt. De eerste is Torpedo, die een kwetsbaarheid in het paging protocol misbruikt. Dat protocol wordt door operators gebruikt om een mobiele telefoon te 'waarschuwen' dat er een oproep of tekstbericht op komst is. De wetenschappers ontdekten dat, wanneer er in een korte periode veel oproepen worden gedaan en afgebroken, er een paging-bericht kan worden verstuurd zonder het toestel te informeren over de oproep. Dit zou hackers in staat stellen om de locatie van het slachtoffer te achterhalen, maar ook om het paging-kanaal over te nemen en berichten te sturen of juist te blokkeren.

Torpedo zet volgens de academici bovendien de deur open voor twee andere aanvallen: Piercer, waarmee een hacker een international mobile subscriber identity of imsi kan vaststellen, en een IMSI Cracking-aanval. Die stelt kwaadwillenden in staat om imsi-nummers te achterhalen op 4g- en 5g-netwerken, waar deze nummers versleuteld zijn. Hierdoor lopen zelfs de nieuwste 5g-toestellen het risico om getroffen te worden door Stingray-spionage, zo stellen de onderzoekers. Volgens hen zijn de vier grootste Amerikaanse operators, AT&T, Verizon, Sprint en T-Mobile, allemaal getroffen door Torpedo. Om een aanval uit te voeren zou de hacker genoeg hebben aan eenvoudige radioapparatuur ter waarde van amper 175 euro.

Volgens onderzoeker Hussain zijn de kwetsbaarheden gemeld aan de GSMA, de wereldwijde brancheorganisatie die de belangen van operators behartigt. Op dinsdag worden de bevindingen van de academici verder uiteengezet op het Distributed System Security Symposium in San Diego.

Vorig jaar publiceerden Noorse, Zwitserse en Duitse onderzoekers ook al een paper over een kwetsbaarheid in het 4g- en 5g-protocol. Dat ging over misbruik van Authentication and Key Agreement, een protocol voor de authenticatie tussen een smartphone en een mobiel netwerk. Speciale imsi-catchers zouden dankzij de kwetsbaarheid informatie van mobiele gebruikers kunnen verzamelen om profielen op te bouwen.

5G logo

Reacties (32)

bArAbAtsbB 26 februari 2019 12:38

en daar komt men nu achter? hoe lang gebruiken we 4G al? en al die tijd dus kwetsbaar.

Sorcerer8472

@bArAbAtsbB • 26 februari 2019 14:07

2G is echt mega kwetsbaar en dat gebruiken we nog steeds. In de VS is het zo goed als helemaal uitgeschakeld, in Australië, Zuid-Korea en Singapore ook.

lb2001 @Sorcerer8472 • 26 februari 2019 14:35

En dan snap ik niet waarom sommige providers 3G uitschakelen, en 2G in de lucht houden. De tijd van 2G (maar ook van 3G) is al lang voorbij. Dan is het wel weer zo dat niet overal 4G dekking is, en dat er dan naar 2G overgeschakeld wordt. Dan kun je net zo goed je data uitschakelen, want je kan er niet eens fatsoenlijk op WhatsAppen.

Luinwethion @lb2001 • 26 februari 2019 14:59

2G is belangrijk voor M2M in Europa, het is betrouwbaar en heeft een goede dekking, zo ook omatje in een dorpje haar OV-chipkaart kan opladen bij de tabak winkel om de hoek, en zorgt ook dat je GPS tracker wat langer op een accu kan.

Tijdens de ontwikkeling van 4G zijn ze deze usecases vergeten, het is duur heeft hogere energie verbruik enzovoort.

5G voor IoT zou 2G ooit vervangen, maar voorlopig in Europa zou je zien dat 3G bijna overal eerst uit gaat dan 2G.

Sorcerer8472

@Luinwethion • 26 februari 2019 15:57

Je technische verhaal is niet per se waar: ten eerste is 4G helemaal niet zo onzuinig en ten tweede zijn er extreme low power modes die enorm veel zuiniger zijn dan 2G. De meeste apparaten die M2M gebruiken hebben een flinke accu of draaien op netstroom (pinautomaten, OV-chipkaartmachines, etc.)

Het feit dat er zo veel nog op 2G only draait is deels omdat men in het verleden niet strak genoeg hierop heeft gezeten waardoor er zelfs vandaag nog devices worden verkocht die geen 3G/4G ondersteunen. In andere landen zoals de VS doet men dit beter.

Echter wat ik met mijn post eigenlijk impliciet wil zeggen is dat 2G de allergrootste lekken bevat die redelijk eenvoudig te misbruiken zijn, maar dat we dat gewoon in stand laten (m.u.v. bijvoorbeeld T-Mobile NL die het gaat uitschakelen volgend jaar). Dus zo dringend is het allemaal blijkbaar niet...

[Reactie gewijzigd door Sorcerer8472 op 23 juli 2024 01:29]

analog_ @Sorcerer8472 • 26 februari 2019 19:08

In de VS waren er meerdere 2g standaarden, was het bereik verre van dekend itt. tot onze europese hoek met 99% 2G dekking, perfect voor m2m. De m2m devices upgrade je ook niet zomaar naar 4g. De modem kost je mss 20€ maar die installatie het tienvoudige
minimum dankzij je onsite field technieker.

Dat het lek is maakt voor de meeste m2m toepassingen niet zo uit, physical security is het probleemmeer (goedkoper, efficienter, simpler).

Singapore is ook twee scheten groot, een uitrol duurt niet lang.

[Reactie gewijzigd door analog_ op 23 juli 2024 01:29]

Sorcerer8472

@analog_ • 26 februari 2019 22:40

Vergis je niet over het aantal sites in Singapore. Er wonen bijna 6 miljoen mensen en het is zeer dichtbevolkt. Er zijn veel indoor sites en microsites. Vervanging kost dus best wat effort.
Zuid-Korea heeft ruim 50 miljoen inwoners dus da's al helemaal een ander verhaal.

Verder weet ik niet precies hoe men omgaat met M2M-klanten hier en daar, maar ik heb in Azië vaker terminals gezien die 3G-logootjes aangeven, daar waar je zelfs bij moderne terminals in Nederland nog "GPRS" ziet. 3G-versies zijn hier ook te krijgen, maar zijn toch een stukje duurder en worden vaak niet gekocht.

Tenslotte heb je het over de dekking in Nederland, die is inderdaad beter, echter volgens mij wordt M2M in Nederland juist in dichtbevolkte gebieden gebruikt, bijv. pinautomaten, containers, OV-chipautomaten etc., plekken die ook in de VS bijvoorbeeld goede dekking hebben.

Heb het idee dat het hier vooral de wet van de remmende voorsprong is waarom we nog 2G hebben. Wij waren jaaaren geleden al lekker bezig met de IOT-revolutie

analog_ @Sorcerer8472 • 28 februari 2019 20:30

Mijn ervaring is west-europees m2m localization voor agrarische sector, vaart, auto-fleet en bouw-industrie. 2G 'werkt' en inderdaad remmende voorsprong. Vendors implementeren nu vaker 3g/4g chips waardoor het probleem over een aantal jaar vanzelf verdwijnt, marktwerking. Het gaat ook minder dan 1MB data per dag of twee SMSjes. LORAwan zou eventueel hiervoor kunnen maar GPS+2G is wereldwijd.

SpiceWorm @Sorcerer8472 • 26 februari 2019 23:06

Communiceren veel slimme meters niet via 2g?

Als dat zo makkelijk te hacken is, dan zit daar wel een gat.

Sorcerer8472

@SpiceWorm • 27 februari 2019 10:11

Als je dataverkeer via SSL laat lopen dan valt het weer mee. Doe je dat niet, of check je certificaten niet, dan is het al een ander verhaal.

Overigens moet je wel enige technische kennis hebben om dit allemaal te kunnen.

boonie @Sorcerer8472 • 27 februari 2019 07:30

Of een netwerk 2g uitschakelt of niet, mobieltjes ondersteunen het nog. Dus is een fake base station nog steeds een optie.

Sorcerer8472

@boonie • 27 februari 2019 10:12

Klopt. Ik zou het ook erg graag uitschakelen op m'n telefoon maar bij Vodafone heb je dan bijvoorbeeld in bepaalde parkeergarages geen ontvangst meer omdat daar alleen 2G draait. Plus de telefoon ondersteunt het niet

Balder© @Sorcerer8472 • 26 februari 2019 15:07

"Public Wifi" wordt ook massaal gebruikt zonder bescherming, terwijl de kwetsbaarheden hiervan ook allang bekend zijn.

Anoniem: 1092407 @Balder© • 26 februari 2019 15:38

Inderdaad maar daar kun je jezelf tegen wapenen door alleen te verbinden met hotspots die je vertrouwt. In openbare ruimtes doe je dat middels certificaten. Geen idee of dat wordt toegepast in Nederland maar hier in Azië kan ik connecten met wifi van m'n mobiele provider middels een certificaat dat op m'n simkaart staat. Android heeft standaard een optie voor simcard authentication. Weet ik zeker dat ik niet op een rogue hotspot zit en ook dat m'n data in ieder geval lokaal veilig is.

bantoo @bArAbAtsbB • 26 februari 2019 12:44

Er zijn vaak zat defecten in iedere telecom standaard gevonden. Er wordt niet zo veel research naar gedaan en zo nu en dan struikelt iemand over een al 10-20 jaar oud gat. Beveiliging heeft nooit echt een hoge prioriteit gehad in deze netwerken.

lenwar

@bArAbAtsbB • 26 februari 2019 12:52

Tsja. In 2008 werd er een fout gevonden in TCP/IP
nieuws: Cisco: omvangrijk tcp-lek bouwt voort op bekende kwetsbaarheden

Dat is al sinds de jaren 60 in gebruik.

We zien juist de laatste jaren dat men zoekt naar fouten in de basisonderdelen/systemen/mechanismen. (die aldanniet platform- en systeemonafhankelijk zijn, maar wel breed gebruikt worden (Spectre en Meltdown (dat gebeuren in de intel-chips) of MD5 en SHA1 zijn daar mooie voorbeelden van))

joco 26 februari 2019 13:48

is wel lastig aan de hand van dit artikel waar het nu echt mis gaat

"er een paging-bericht kan worden verstuurd zonder het toestel te informeren over de oproep. Dit zou hackers in staat stellen om de locatie van het slachtoffer te achterhalen"

heh?
dus een paging bericht dat je NAAR het toestel stuurt (maar daar zit dus niet bepaalde data in) en dan zou je moeten kunnen zien waar dat toestel zich bevindt? Hoe dan? wat stuurt het toestel terug dan? En hoe nauwkeurig is die locatie? puur hij zit op die paal (of paar palen) ?

satisf @joco • 26 februari 2019 16:14

Basically is het een timing aanval, de attacker triggert paging, door bv. een telefoongesprek, sip-call of chat te starten. De UE (User Equipment - smartphone) is idle dus er wordt paging gedaan. Normaal gezien zijn de contents van die paging relatief obfuscated, maar het probleem is dat het paging signaal basically via TDM (Time Division Multiplexing) werkt en het tijdslot waarin je pages ontvangt afhangt van een IMSI, een constante identity.

Dus, gegeven dat het aantal paging messages voor andere devices min of meer constant is, als je een redelijk aantal pages kan forceren kan je detecteren dat een bepaald paging slot nogal overbelast is en dus er met redelijke zekerheid van uitgaan dat die UE in die locatie is.

Of course, paging wordt vaak over meerdere cells gedaan, dus de locatie is nogal heel coarse. Ook hebben de meeste UEs nogal veel apps tegenwoordig en is het vrij onvoorspelbaar of een UE idle is of niet. Ten slotte is de aanname dat het niet-targetted paging verkeer min of meer constant is volgens mij ook nogal zwak tenzij je juist vrij rustige areas (rural) target.

[Reactie gewijzigd door satisf op 23 juli 2024 01:29]

satisf 26 februari 2019 15:42

De titel is nogal extreem misleidend, het gaat hier niet over afluisteren in de wijde zin van het woord. Hoe ik het begrijp:

De eerste attack (TORPEDO) laat toe te weten aan de hand van een gekende identity (bv. telefoon nummer, SIP ID, chat account, ...) te kijken of de smartphone gelinkt aan die identity aanwezig is in een gegeven cell door middel van sniffen van paging messages. Dus het is al een targeted attack en je moet al apparatuur in die cell hebben. Als uitbreiding daarop speculeren ze over een paging DDOS die je zou kunnen uitvoeren maar niet bewezen hebben (hoewel het likely lijkt).

De tweede attack (PIERCER) laat toe de IMSI (International Mobile Subscriber Identity) te sniffen gebaseerd op de eerste aanval in 4G netwerken, dus je kan een soft-identity linken aan een IMSI. Dit is op zich voornamelijk een privacy leak, maar de auteurs verwijzen naar aanvallen die kunnen gebeuren op een targeted IMSI, al zijn ze zeer onduidelijk over wat soort aanvallen. Als ik de referenties lees gaat het echter quasi allemaal over 2G/3G aanvallen en enkele waarbij 3G/4G interworking wordt gebruikt voor een semi-4G aanval. Echter, PIERCER exploit geen fout in 4G netwerken an sich, maar van bepaalde implementaties, die duidelijke security eisen van de specificaties negeren.

De derde attack (IMSI-CRACKING) is een variant op de tweede, waarbij ze door wat vernuft enkele bits van de IMSI kunnen laten lekken, waarna er nog slechts 24 bits overblijven waardoor ze basically het IMSI kunnen bruteforcen in 18u voor zowel 4G als 5G. Dan halen ze weer de eerdere security leaks aan van PIERCER, maar die zijn voor 5G al helemaal vergezocht want daar is zelfs geen 3G interworking.

Dus mijn conclusie, het gaat om volgende 'lekken':
1) een attacker kan detecteren of een GSM in een bepaald gebied zit als hij een identity van die GSM EN een sniffer in dat gebied heeft.
2) een attacker kan de IMSI quasi direct afleiden voor bepaalde 4G apparatuur en binnen 1 dag voor generiek 4G/5G
3) Theoretisch voor 4G bestaat er een risico dat IMSI kan gebruikt worden voor alfuisteren gebaseerd op gedateerde 2G/3G security issues. Voor 5G moet dat alsnog nog bewezen worden (voor 4G ook).
4) voor 4G kan het gebruik van een IMSI verdere tracking door stingray makkelijker maken (maar in mijn ogen is het kwaad eigenlijk al geschied op dat moment). 5G zou hier niet kwetsbaar voor mogen zijn (maar 5G staat in zijn kinderschoenen).

Dus eerlijk gezegd, ja, paging kan beter en het is goed dat ze daarop wijzen, maar het is zeker nogal opgeblazen, de impact hiervan lijkt klein.

[Reactie gewijzigd door satisf op 23 juli 2024 01:29]

DeComponeur

26 februari 2019 13:34

Op zich begrijp ik de ophef wel, maar het is toch een illusie om te denken dat er ooit iets 'draadloos' gaat komen dat helemaal niet/nooit afgeluisterd zou kunnen worden

Uiteraard is er van alles te versleutelen, maar als je de sleutel hebt, maakt of bedenkt, kom je er in

ultimate-tester 26 februari 2019 15:40

Ja maar wacht eens even. Dit klinkt mij precies als de manier die overheden (politie) gebruiken om misdadigers te traceren. Waarschijnlijk is dit bericht relevant omdat het nu 5g is, maar deze informatie was mij al heel lang bekend over 4g... Of hebben we het over iets anders hier?

Maxxi @ultimate-tester • 26 februari 2019 17:26

Nee hoor die vragen dat gewoon aan de provider.

mutley69 26 februari 2019 19:57

In welke mate zit de chinese overheid niet achter die features? Het NSA zal daar ook niks op tegen hebben denk ik. En de russen - die verbieden gewoon het gebruik van GSM's tijdens legeroperaties - de slimsten van de hoop, m.a.w.

Toff 26 februari 2019 23:30

Eerlijkgezegd begrijp ik de fuzz niet zo. Sinds ATF-1, in NL de eerste "autotelefoon" in 1980, die met iedere analoge ontvanger of scanner in de 150 MHz band af te luisteren was, is er veel verbeterd, maar als je iets echt geheim wilt houden, moet je het niet delen. Eigenlijk met niemand, maar zeker niet via telefoon of intenet...