Исследователи из Германии обнаружили серьезные уязвимости в протоколе SS7, используемом в сотовых сетях. При их эксплуатации любой имеет возможность прослушивать звонки, совершаемые по мобильному телефону, и перехватывать SMS-сообщения в массовом порядке вне зависимости от того, какое шифрование применяют операторы. ИБ-эксперты Тобиас Энгель (Tobias Engel) и небезызвестный Карстен Ноль (Karsten Nohl) из Security Research Labs независимо друг от друга открыли «врожденные» баги в очень старом протоколе связи и собираются обратить пристальное внимание на уязвимую функциональность SS7 на хакерской конференции, которая вскоре пройдет в Гамбурге.

Глобальная сеть SS7, благодаря которой сотовые операторы могут осуществлять маршрутизацию голосовых вызовов, текстовых сообщений и других сервисов между своими сетями, буквально напичкана уязвимостями, которые подвергают сомнению безопасность и приватность миллиардов людей, пользующихся услугами мобильной связи с 1980-х годов.

Ключевые функции SS7, например удержание соединения при перемещениях между базовыми станциями, стали одновременно и преимуществом, и изъяном давно разработанного стандарта. Хотя игроки телекоммуникационного рынка прилагают все усилия для обеспечения максимальной безопасности сетей (в частности, внедряют более надежные соединения по 3G), между собой их сети все равно общаются на привычном, используемом с прошлого века языке — SS7. «Это все равно что поставить надежную входную дверь, оставив открытым черный ход», — иронизирует Энгель.

Хакеры могут воспользоваться брешами в протоколе для установки слежки за любым устройством, подключенным к мобильной сети: сотовая сеть может определить местоположение абонента практически в любой точке планеты, что играет на руку потенциальным злоумышленникам. Какое бы шифрование ни применяли операторы, звонок или сообщение могут быть сначала перехвачены хакером с целью дальнейшей дешифрации и только затем перенаправляться самому абоненту. Подрывная деятельность злоумышленников может скомпрометировать как пользователей, так и операторов сети.

Оба исследователя обратили внимание на потенциальные бреши, когда газета Washington Post опубликовала материал о том, что множество компаний предлагают услуги наблюдения и определения местоположения абонента на основе эксплуатации функций сетей SS7. Также репортеры выяснили, что подобные системы были также приобретены правительствами разных стран для ведения слежки. Очевидно, ничто не помешает опытным хакерам заниматься тем же самым в своих интересах.

После обнаружения Энгелем и Нолем долго существовавших уязвимостей напрашивается вывод, что такой подход вполне мог применяться спецслужбами для слежки за пользователями на протяжении многих лет.

Обращение в отраслевую ассоциацию GSMA для выяснения подробностей открытия Энгеля — Ноля ничего не дало, хотя официальные представители организации признали, что о проблеме им было известно и что в настоящий момент идет процесс модернизации сетей, использующих SS7, однако он может растянуться на десять лет.

Исследователи испытали два способа эксплуатации несовершенства сотовой сети. Для установления прослушки можно использовать функцию перевода звонка, предлагаемую многими операторами. Хакерам остается просто установить дополнительное звено в цепочке маршрутизации, переводя звонок сначала на себя, а потом уже на абонента. Второй способ предполагает нахождение хакера в районе действия той же самой базовой станции и перехват звонков и сообщений, передаваемых через радиоволны. Даже если коммуникация зашифрована (как, например, в сетях 3G), через SS7 можно послать запрос на предоставление временного ключа от оператора для дешифровки уже записанных разговоров или переписки.

В качестве PoC-демонстрации Ноль задействовал ни много ни мало телефон сенатора из Германии, состоящего в партии канцлера Ангелы Меркель (разумеется, с его согласия). Пристальное внимание властей страны к проблеме легко объяснить: германские политики пока не забыли о скандальных признаниях Эдварда Сноудена о слежке за Меркель со стороны АНБ США. Хотя о технике АНБ ничего конкретного не известно, Ноль не исключает использование открытого им метода эксплуатации SS7. Такой подход может применяться не только для целенаправленной слежки: при автоматизации процесса можно организовать дешифровку коммуникаций в масштабе города или даже страны.

По словам Ноля, метод работает во всех сетях (даже в использующих шифрование сетях 3G), которые он успел протестировать, — а это более 20 глобальных сотовых сетей, включая T-Mobile в США. Представители оператора уже заявили, что совместно с другими операторами США, организациями по стандартизации и производителями сетевого оборудования работают над методами детектирования и отражения атак такого рода. Один из крупнейших операторов Германии, Vodafone, после обнаружения уязвимостей в SS7 прекратил предоставлять ключи шифрования при запросе «Any Time Interrogation», при помощи которого можно установить местоположение любого мобильного телефона. Конечно, при соответствующем постановлении суда или правительства операторы должны предоставить информацию о местоположении абонента или включить перехват звонков и сообщений в ответ на запрос, но техника, описанная исследователями, позволяет любым подкованным в вопросе хакерам также получать необходимые сведения.

В разговоре Энгель признал: «Я вообще сомневаюсь, что мы первыми обнаружили, насколько открыта SS7-сеть». Слежка или перехват звонков и сообщений без соответствующего ордера являются незаконными во многих странах. Однако для работы спецслужб или правоохранительных органов описанная техника слежения важна для поимки шпионов или преступников: SS7 также можно использовать для определения телефонов абонентов, чьи сигналы посылаются на отслеживаемый телефон. При установлении связи устройства обмениваются временными идентификационными номерами, которые через запросы к SS7 могут привести к фактическим телефонным номерам, что потенциально поможет определить местонахождение устройства в определенном районе — например, в непосредственной близости от посольства иностранного государства или административного здания. Но, по словам участвовавшего в эксперименте представителя правящей партии Германии Томаса Ярзомбека (Thomas Jarzombek), это уже давно не сюрприз. «После откровений Сноудена я предпочитаю, как и многие, вести конфиденциальные разговоры по обычному телефону», — отметил он.

Категории: Уязвимости, Хакеры