27. Dezember 2010

27C3: SMS-o-Death

Category: CCC,Hacking — Christian @ 21:29

Collin Mulliner und Nico Golde arbeiten im T-Labs der TU-Berlin und berichten über die Sicherheitsprobleme von Feature-Phones (das sind halb-intelligente Telefone, etwas weniger intelligent als Smartphones) mit SMS. Nur 16% aller Telefone sind Smartphones aber praktisch alle Mobiltelefone sind heute Feature-Phones die SMS unterstützen. Diese Telefone gibt es mit praktischen allen Verträgen umsonst weil sie günstig sind und sie sind auch im Rest der Welt weit verbreitet. Es gibt Standardsoftware für diese Telefone und ein gefundener Fehler funktioniert auf sehr vielen Geräten. Die am meisten verbreiteten Hersteller sind Nokia, Samsung, SonyEricsson, LH, Motorola und Micromax (in Indien). Die Telefone wurden gebraucht auf eBay organisiert und hatten oft noch vertrauliche Daten im Speicher.

SMS kann unzählige Funktionen wie FlashSMS, VCard, MMS, Multipart-SMS, …. viele dieser Funktionen sind kaum gebräuchlich und der unterstützende Programmcode kann deshalb leicht bisher unentdeckte Fehler enthalten. Ein Fehler in einem einfachen Feature-Phone mit nur einem Prozessor erlaubt die Kontrolle über das Telefon und SMS ist ein echter Remote-Bug, einfach eine SMS wegschicken und fertig.

Das Problem bei der Analyse ist allerdings, es gibt keinen Debugger, es gibt kein öffentliches SDK, JTAG (Reverse Engineering) ist nicht lustig bei 10+ verschiedenen Telefonen, man muss echt Arbeit investieren. Die Lösung für die TU war deshalb, ein eigenes privates GSM-Netz aufzubauen. Das hat den Vorteil, dass SMS umsonst sind und kein Netzbetreiber Zugriff auf die SMS mit 0-Day-Exploits bekommt. In diesem eigenen GSM-Netz hat man außerdem komplette Kontrolle über alle Geräte und Logfiles. Zum Glück gibt es mit OpenBSC, OpenBTS, nanoBTS (3500,- Euro Basisstation) und OsmocomBB OpenSource-Software für den Betrieb von GSM-Equipment.

Das SMS-PDU-Format ist erstaunlich komplex. Auf die Details möchte ich hier nicht eingehen. Dafür gibt es diesen Screenshot aus dem Vortrag:

4060 Screenshot 1

Beispielsweise sind folgende Geräte betroffen:

4060 Screenshot 2

Oder:

4060 Screenshot 3

Fazit: gegen alle Telefone waren Denial-of-Service Angriffe mit relativ einfachen SMS möglich. Von Reboot des Geräts über Abschalten bis zum kompletten Freeze ist alles dabei. Weil einige Telefone bereits Crashen bevor der Empfang der SMS dem Netz gegenüber bestätigt wird, kann über wiederholte Auslieferungsversuche ein Telefon dauerhaft aus dem Netz gehalten werden. Über die konkreten Auswirkungen eines verbreiteten DoS-Angriffs auf Mobiltelefone muss noch diskutiert werden. Möglicherweise kann man Netzbetreiber oder Hersteller erpressen.


Tags: , ,

4 Comments

  1. He he he… das tönt doch super 😀
    Zitat:
    „Möglicherweise kann man Netzbetreiber oder Hersteller erpressen.“
    Gibt es schon bekannte Fälle von Erpressung von Netzbetreiber??? *LOL*

    Gruss
    PowerShell 😎

    Comment by PowerShell — 4. Januar 2011 @ 15:08

  2. ja

    Comment by temro — 26. Januar 2011 @ 14:06

  3. Es gibt eine viel größere Sicherheitslücke im Security-Bereich: Jede Universität kann sich hinstellen und behaupten sie habe irgendein System geknackt. Das soll jetzt nicht heißen, dass die Meldung ein Fake ist. Aber es kotzt mich immer mehr an, dass „Sicherheitslücken“ veröffentlicht werden, ohne Details zu nennen. Wer einmal versucht hat, eine angebliche Sicherheitslücke auszunützen, wird gemerkt haben, dass es eben nicht so einfach ist, dass es „jedes script-kiddie“ kann. und selbst wenn man einen exploit findet wird man erstaunt sein, dass diese sog. „exploits“ fast nie von haus aus funktionieren sondern erst speziell angepasst werden müssen. und dafür braucht man ernsthafte programmier-kenntnisse!

    Comment by Michi — 18. März 2011 @ 13:59

  4. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 17:41

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.