Het probleem met een belangrijk onderdeel van het telefoonnetwerk, waardoor iemands locatie op afstand kan worden achterhaald, is nooit helemaal op te lossen.  "Het is geen bug, maar een feature", zegt chief security officer van KPN, Jaya Baloo. 

Het probleem zit in Signaling System No. 7, het systeem dat mobiele-telecomproviders onder meer gebruiken om met andere telecomproviders te communiceren, bijvoorbeeld voor de afhandeling van gesprekken, het versturen en ontvangen van sms'jes en het verrekenen van roamingtarieven.

Het ss7-systeem is nooit ontworpen met beveiliging in het achterhoofd. Aanvallers kunnen daardoor met een aantal trucs opvragen met welke zendmast een gebruiker verbinding heeft. Er bestaan commerciële databases die de identificatienummers van zendmasten koppelen aan locaties, waardoor grofweg kan worden afgeleid waar iemand zich bevindt. "Zeker in steden, waar zendmasten vaak dichtbij zijn, kun je iemand op straatniveau volgen", aldus onderzoeker Engel. Ook is het mogelijk om gesprekken te forwarden naar andere nummers of sms'jes te onderscheppen, zo bleek eerder al.

Een aanvaller moet zichzelf wel toegang verschaffen tot het ss7-systeem, waar officieel enkel telecomproviders toegang toe hebben. Er zijn echter bedrijven die tegen betaling toegang bieden. Ook kan een femtocell worden gehackt of kunnen aanvallers zichzelf toegang verschaffen tot slecht beveiligde netwerkapparatuur.

Beveiligingsonderzoeker Karsten Nohl, die samen met Engel onderzoek deed naar ss7, wuift de bezwaren van de provider weg. "Deze problemen kunnen worden opgelost. Het zal alleen niet makkelijk zijn", aldus de hacker tegenover Tweakers. "Telecomproviders kunnen sowieso hun best doen de problemen enigszins te voorkomen. Maar het is zelfs mogelijk om dit helemaal op te lossen, bijvoorbeeld met betere filtering en plausibility checks." Volgens Nohl is één Duitse provider er al in geslaagd om de beveiligingsonderzoekers volledig buiten de deur te houden.

Alles bij de bron; Tweakers

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha