Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA

  • Telefonní sítě jsou postavené na děravém systému SS7
  • Stačí znát číslo oběti a na černém trhu získat přístup
  • Útočník může poslouchat hovory, číst cizí SMS a prolomit WhatsApp

Snad žádný Jobsův životopis neopomene zmínit blue box Steva Wozniaka, pomocí kterého v mládí zdarma telefonovali do Vatikánu a vydávali se za Henryho Kissingera. Modrá krabička nebyla ničím jiným než generátorem speciálních servisních tónů. Stačilo si v dokumentaci přečíst, kolik Hz má mít sada signálů, které umožní transatlantický neplacený hovor, a bylo to.

Ovládnutí tzv. phreakingu bylo základní dovedností každého amerického hackera 70. a 80. let, a než došlo k proměně a digitalizaci technologií, bavila se podobnými hovory celá jedna generace mladíků nejen v USA.

Chcete odposlouchávat něčí telefon? Nastudujte si SS7

Leckoho by napadlo, že v dnešní době už něco podobného není možné a hacking mobilních sítí se odehrává leda v divokých scénářích hollywoodských blockbusterů, ve kterých hacker naťuká pár magických čísel do telefonu a začne odposlouchávat třeba amerického kongresmana, ovšem ono to skutečně jde.

Chcete odposlouchávat něčí telefon? Chcete si číst cizí SMS? Chcete sledovat polohu nadřízeného? Chcete telefonovat zdarma? Specialisté z Positive Technologies již před lety demonstrovali (PDF), že toto je i dnes naprosto možné a jediné, co k tomu potřebujete, je telefonní číslo oběti a přístup do systému SS7 (podrobněji v PDF).

Signaling System 7 je rodina signalizačních protokolů, kterými se řídí prakticky všechny děje v telefonní síti počínaje otevíráním telefonních spojení a konče zasíláním SMS. SS7 dnes používají prakticky všichni operátoři na celém světě, s pomocí SS7 tedy dorazí SMS z dovolené v Chorvatsku až do Prahy a stejně tak se dovoláte třeba do Grónska.

SS7 je lety ověřený systém, jeho základy totiž sahají hluboko do minulosti analogové telefonie. Stejně tak se ale ví, že je to nehorázně děravý systém. O mnoha z jeho zranitelností se už ví prakticky od počátku 21. století a aliance GSMA propojující operátory a výrobce jen opakuje, že sice plánuje jeho vylepšení, nicméně se to protáhne až do příštího desetiletí. Není se čemu divit, změna protokolů, na kterých stojí a padá současná mobilní telefonie realizovaná stovkami a tisíci operátorů je totiž enormně složitá.

Znali jen telefonní číslo, a přesto hackli kongresmanův iPhone

Děravé telefonní protokoly byly dlouhé roky výhradně tématem odborných konferencí, než se však letos na jaře v pořadu 60 Minutes na CBS (pouze pro předplatitele) objevila reportáž, ve které hackeři z Positive Technologies úspěšně zaútočili na iPhone kongresmana Teda Lieua, aniž by jej kdykoliv dostali do rukou. Stačilo jim pouze kongresmanovo číslo.

681348475
Kongresman Ted Lieu se nechal v pořadu 60 Minutes dobrovolně napadnout hackery, sám je totiž členem parlamentní komise pro informační technologie.

Specialisté totiž měli zadní vrátka do systému SS7, která jim umožnila provést s mobilní konektivitou telefonu prakticky cokoliv počínaje odposlechem a monitorováním jeho polohy a konče jammingem – blokací. Telefon měl stále signál, ale kongresman si nezatelefonoval a nepřijal jediný hovor, protože hackeři vyslali do sítě signál, aby se klient nemohl spojit.

Aliance GSMA nebije na poplach mimo jiné z toho důvodu, že k podobnému útoku sice člověk nepotřebuje žádné sofistikované zařízení a celý systém SS7 je plně dokumentovaný, potřebuje však patřičná práva. SS7 není pro každého, ale pouze pro autorizované entity – operátory. Problém spočívá v tom, že k němu může mít přístup kdejaký technik, který může být motivovaný třeba finanční odměnou, anebo mohou hackeři získat přístup do signalizační sítě č. 7 na černém trhu.

Odposlech polohy podle telefonního čísla

Suma sumárum, provést takový útok není tak snadné, jako když script kiddie spustí na Linuxu aircrack a odpojí souseda od Wi-Fi, jenže stejně tak nemusíte být NSA. Hlavním rizikem je tedy především zneužití ze strany organizovaného zločinu, který má dostatečné finanční prostředky.

Útok skrze SS7, jak jej demonstrovala skupina Positive Technologies, se skládá z několika úrovní. Pokud útočník na počátku zná pouze telefonní číslo, v první vlně se systému pomocí protokolu SMS zeptá, jaký má oběť IMSI – International Mobile Subscriber Indentity.

644485946
Útočník skrze SS7 získal podle telefonního čísla oběti její IMSI a další identifikátory potřebné pro další útoky (Celý proces je vysvětlený v tomto PDF)

Jakmile jej útočník získá, může do mobilní sítě vyslat další dotaz a odpovědí mu už budou lokalizační údaje oběti, tedy především CID – identifikátor BTS, u kterého je telefon právě registrovaný. Pak již stačí použít některou z databází (třeba Wigle) a podívat se, kde se daný vysílač nachází.

147113901 603324994
Pomocí IMSI oběti může útočník v dalším kroku získat údaje o BTS vysílači, ke kterému je právě připojený, a tedy i zeměpisnou polohu

Pokud by tento proces hacker automatizoval a požadavek na lokalitu oběti by se zasílal třeba každou čtvrthodinu, může útočník oběť průběžně monitorovat a jen sledovat pohybující se puntík na mapě. A to aniž by nešťastník cokoliv zjistil, jakmile má totiž záškodník vstup do systému SS7, zasílá do něj zcela legitimní dotazy. Právě možnost zasílání těchto neautorizovaných dotazů je obrovskou slabinou celého systému.

673377320 37035356
Schéma odposlechu hovoru a SMS. To všechno SS7 umožňuje.

Odposlech, přesměrování SMS aj. je pak už jen otázkou další sady příkazů. A jen zopakuji, že toto vše je možné a zdokumentované již dlouhé roky a nejedná se o žádnou novinku několika posledních měsíců. Problém tedy spočívá v tom, že signalizační příkazy SS7 může zasílat každý člen sítě a vstup do sítě podle Positive Technologies není pro organizovaný zločin teoreticky nikterak složitý – třeba skrze některou z afrických zemí s chabou telekomunikační legislativou. Jak velkou překážkou to pak musí být pro NSA a podobné agentury?

Pomocí SS7 lze zaútočit i na WhatsApp, Telegram a další mobilní IM

Posuňme se nyní o pár týdnů dál. Počátkem dubna WhatsApp s velkou pompou oznámil, že již umožňuje plně šifrovanou komunikaci end-to-end. To v praxi znamená, že se chat šifruje v jednom telefonu a dešifruje v druhém, aniž by provozovatel služby vlastnil klíč. Nemůže tedy takovou komunikaci dešifrovat a to ani v případě, že by jej o to požádal třeba soud, FBI, NSA a další autority.

Nadšení z dokonale zabezpečeného WhatsAppu však vydrželo jen pár týdnů, počátkem května se totiž znovu ozvali specialisté z Positive Technologies a konstatovali (obšírněji na Forbesu), že veškeré šifrování WhatsAppu obešli opět skrze signalizační systém SS7. A nejen WhatsAppu, ale i dalšího mobilního kecátka Telegram.

800909385
Schéma útoku skrze SS7: Útočník na sebe nejprve pomocí SS7 přesměruje autorizační SMS IM služby a pomocí ní se pak přihlásí třeba k Telegramu

Jelikož autorizace podobných aplikací probíhá pomocí telefonního čísla a případně SMS s autentizačním kódem, stačilo přesměrovat SMS oběti na záškodnický telefon a po příchodu SMS s kódem se připojit třeba do jeho Telegramu. Pokud by si pak dvě osoby psaly z mobilu na mobil, veškerý chat by se zrcadlil i na telefonu útočníka. Telegramu to nepřipadne divné, protože jeden uživatel může mít samozřejmě vícero připojených zařízení.

Problém by sice nastal u probíhajícího šifrovaného chatu, protože před jeho započetím si aplikace na obou stranách vyměnily šifrovací klíče a záškodník u toho nebyl, nicméně pokud sám započne chat, může se vydávat za oběť a už si šifrovaně povídat s třetí osobou a tahat z ní rozumy. Třeba: „Ahoj Davide, zapomněl jsem heslo na redakční Twitter. Pošli mi ho pls Jakub.“

Útok na WhatsApp

Útok na Telegram

Šance nejen pro průmyslovou špionáž

Jak vidno, děravý není jen počítač a operační systém, na kterém zrovna čtete tento článek, ale i systémy mobilních sítí, o kterých se zase tak často nepíše a surfaři tak nějak přirozeně předpokládají, že do podobné infrastruktury se jen tak někdo nedostane.

A skutečně nedostane – vstup do SS7 bude pro běžného hackera-zelenáče nejspíše příliš velké sousto, a ze strany nudícího se kolegy v práci vám tak nebezpečí nejspíše nehrozí. Jinak tomu ale může být u organizovaného zločinu a obecně třebas finančně motivovaných hackerů, kteří získají přístup třeba na černém trhu a mohou pomocí SS7 provádět průmyslovou špionáž. Doufejte tedy v to, že jste pro ně dostatečně nezajímaví. A také v to, že operátoři po celém světě co nejdříve sjednají nápravu a omezí SS7 pouze pro legitimní použití.

Diskuze (39) Další článek: Protipirátská organizace to vyřešila: jako warez nahlásila Apple, Google i Netflix

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,