Nieuws

GSM-gesprekken voor 10 euro af te luisteren

dinsdag 28 december 2010, 16:22 door Redactie, 7 reacties

Onderzoekers hebben tijdens CCC Congres in Berlijn aangetoond hoe ze gesprekken met een goedkope telefoon van tien euro kunnen afluisteren. Naast de telefoon is ook een computer nodig, zo demonstreerden Karsten Nohl en Sylvain Munaut. De twee wisten een gesprek af te luisteren door eerst de locatie via onzichtbare sms-berichten te achterhalen. De aanval is mogelijk omdat providers teveel informatie vrijgeven bij het zoeken van het toestel.

Daarnaast schreven de onderzoekers een programma voor het opvangen van het mobiele telefoonverkeer. Tijdens de demonstratie op het Chaos Communication Congres in Berlijn toonde de onderzoekers hoe na het voeren van het gesprek de versleuteling werd doorbroken en het gesprek was terug te luisteren. Vorig jaar liet Nohl al zien dat de beveiliging die afluisteren juist moet voorkomen, te kraken is.

In tegenstelling tot een jaar geleden maken Nohl en Munaut nu wel de broncode van de gebruikte software bekend. De twee gingen overstag omdat providers de problematiek blijven ontkennen. “Dit kan bij iedereen gebeuren, omdat de providers niet hard genoeg werken om de beveiliging te dichten”, stelt Nohl. “Om het probleem te verminderen zou niet veel meer nodig zijn dan een enkele regel broncode.”

Honda verliest database met 2,2 miljoen klanten

Microsoft verrast over kwaliteit Stuxnet-worm

Reacties (7)

28-12-2010, 17:37 door Syzygy

De twee wisten een gesprek af te luisteren door eerst de locatie via onzichtbare sms-berichten te achterhalen.

Ik vind dit al interessant.

Heeft iemand enig idee hoe het werkt (deze truc dus, het onzichtbaar zenden van een SMS en dan de plaats bepaling daar uit afleiden- niet het generieke GSM gebeuren dus of een raai maar raak voor een knaak oplossing hahaha)

28-12-2010, 18:03 door xy22

@Syzygy, een paar oude nieuwsberichten:
http://news.techworld.com/mobile-wireless/7425/devastating-mobile-attack-under-spotlight/
http://www.techwatch.co.uk/2006/11/15/serious-cell-phone-vulnerability-detected/

28-12-2010, 18:34 door Syzygy

Door xy22: @Syzygy, een paar oude nieuwsberichten:
http://news.techworld.com/mobile-wireless/7425/devastating-mobile-attack-under-spotlight/
http://www.techwatch.co.uk/2006/11/15/serious-cell-phone-vulnerability-detected/

Bedankt voor deze links.

Het verhaal gelezen te hebben stuurt de attacker dus een sms boodschap naar de Mobiel van het slachtoffer met binaire code die een aantal instellingen veranderd zodat er meegekeken en geluisterd kan worden.

Vraag is nu, want dat schrijven ze er niet bij, en dat is mijn vraag, hoe komt de "Attacker" aan de locatie gegevens van het "Slachtoffer". (lob - cel is de enige indicatie maar die wordt door de provider weggefilterd)
Vraag 2 , wat moet hij met die gegevens want dat volgt ook niet uit het verhaal !!

28-12-2010, 19:17 door xy22

Door Syzygy:

Hoe en wat precies zou ik niet weten. Enige wat ik aanvullend weet is dat je m.b.v. de locatie-gegevens je kunt 'richten' op een specifiek toestel. Het mobiele netwerk is opgedeeld in cellen, een specifiek (deel van die) cel afluisteren, zet je daarmee op het 'spoor' van dat ene toestel zogezegd.
In ieder geval een kunststukje van de onderzoekers, petje af.

28-12-2010, 23:37 door Anoniem

Iemand al opgevallen dat hij hoge hakken draagt in de video?? :/

29-12-2010, 08:00 door Syzygy

@xy22

Via 3 masten kunnen ze je Mobiel vinden (kruispeiling) maar of dat ook gedaan wordt.
Vandaar dat ik zo benieuwd ben naar de oplossing van die mannen.
Maar het blijft allemaal een vaag verhaal zonder details.

29-12-2010, 14:50 door Anoniem

Ze gebruiken de GSM BTS cell location en hebben deze nodig om zoals hierboven al een beetje is aangegeven, het signaal te blijven vinden. Want als iemand in de trein belt en je snooped 1 locatie dan van je alleen maar op "ik rij nu weg bij utrecht centr...." ;)

Jammer dat er aan andere congresdelen niet veel aandacht word besteed. Vooral het feit dat Android's stiekem locatie tracking hebben en ze hier een fijne exploit voor hebben is goed creepy

http://events.ccc.de/congress/2010/Fahrplan/track/Hacking/4151.en.html

Het zou security.nl een leuke dimensie geven als dit soort congressen werkelijk bezocht werden en er verslag van werd gedaan. Als jullie hiervoor een verslaggever tekort komen ben ik wel bereid :D

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer