A hatóságok és a hackerek már jó ideje használnak hamis adótornyokat a mobilhálózatokban, amelyeket azért állítanak fel, hogy a rájuk automatikusan csatlakozó eszközök felhasználóit azonosítsák és kövessék. Kutatók most rájöttek, hogy ugyanez sokkal olcsóbban is megtehető egyszerű Wi-Fi hotspotok segítségével is.
IMSI-fogónak nevezi az említett adótornyokat a szakma, az International Mobile Subscriber Number egyedi azonosító szám után, melyet a szolgáltatók az előfizetőhöz rendelnek, és a neki adott SIM kártyán tárolnak. Az IMSI-fogókkal bizonyos esetekben még a telefonbeszélgetések is lehallgathatók, az ehhez szükséges, kereskedelmi megoldások azonban, mint például az FBI által is használt Stingray, költségesek.
Az Oxfordi Egyetem számítógép-tudományi intézetének két kutatója, Piers O'Hanlon és Ravishankar Borgaonkar rájött, hogy - követés céljára legalábbis -, a wifi hálózatok segítségével is rávehetők a mobil eszközök IMSI számuk felfedésére.
Olyan technológiák által használt protokollok és konfigurációk gyengeségei adnak erre lehetőséget, mint az automatikus csatlakozás a wifi hálózatokhoz, vagy a wifi alapú telefonhívások, amelyeket a szolgáltatók egyre gyakrabban használnak a mobilhálózat tehermentesítésére.
Egyaránt támogatják ezeket a technológiákat az iOS, Android, Windows Mobile és Blackberry alapú eszközök - az iOS például a különböző szolgáltatóktól származó, több mint 50 beépített profilt tartalmaz Auto Wi-Fi csatlakozáshoz, amelyek automatikusan engedélyezetté válnak, ha valamelyikük SIM kártyáját a mobil eszközbe illesztik, mutattak rá a kutatók a múlt héten megtartott Black Hat Europe kiberbiztonsági konferencián Londonban.
A Wi-Fi Auto Connect az EAPOL (Extensible Authentication Protocol over LAN) protokollt használja, amely az IMSI szám mellett ideiglenes azonosítókat is használ a hitelesítéshez - az IMSI-t jellemzően az első csatlakozáshoz, a többit az újrahitelesítéshez.
Viszont a Wi-Fi Auto Connect az esetek többségében alapértelmezetten "liberális" peer üzemmódra konfigurált, vagyis kérésre mindig meg fogja adni állandó IMSI azonosítóját. Más szóval a támadók egyszerűen elhelyezhetnek egy rosszindulatú wifi hozzáférési pontot, melynek az SSID-i megegyeznek azokkal, amelyekhez az eszközök automatikusan csatlakoznak, és egyszerűen elkérhetik IMSI számukat.
Az Android az Auto Wi-Fi kézi konfigurálását feltételezi, mielőtt automatikusan csatlakozna ilyen hálózatokhoz, de a 6-os, Marshmallow verziótól kezdve a szolgáltatók által előtelepített, kivételezett alkalmazások esetében alapértelmezett konfigurációkat is engedélyez.
Értesítették a kutatók minderről az operációs rendszerek szállítóit, a mobil szolgáltatókat és a GSMA iparági szövetséget is, és az Apple máris válaszolt egy "konzervatív" peer üzemmóddal, amely az iOS 10-ben jelent meg Auto Wi-Fi azonosításhoz. Miután a felhasználó csatlakozott a szolgáltató wifi hálózatához, és azonosította magát IMSI számával, a továbbiakban az általa megadott azonosítókat használja, így egy rosszindulatú hotspot már hiába kéri az állandó IMSI számot, eszköze azt nem fogja megadni.
Hasonló okokból problémásak a szolgáltatók által wifi hálózatra terelt telefonhívások is. Ez a technológia a szolgáltató - titkosított IPsec protokollt használó - Edge Packet Data Gateway (EPDG) átjáróján keresztül csatlakoztatja a felhasználókat a wifi hálózatra, és eltér az olyan VoIP alkalmazásoktól, mint a Skype vagy a WhatsApp. A Wi-Fi hívásokat az iOS és az Android alapú eszközök támogatják, amelyek az IKEv2 (Internet Key Exchange Protocol) protokollt használják hitelesítésre. Olyan azonosítókat használ ez is, mint az IMSI szám, amelyeket EAP-AKA protokollon keresztül ad meg.
Az EAP-AKA adatforgalom titkosított, de nem védi tanúsítvány, ezért kitett a közbülső ember típusú támadásoknak, azaz az IMSI számok kinyerhetők belőle. Jó hír, hogy a Wi-Fi hívásokat a felhasználó letilthatja eszközén, míg az Auto Wi-Fi csatlakozást csak akkor, ha ilyen hálózat hatósugarába kerül.
Elérhetők az interneten olyan szolgáltatások, amelyekkel a megszerzett IMSI számokhoz tartozó telefonszámok is kideríthetők, egy-egy telefonszám tulajdonosa pedig így már könnyen azonosítható, miként az is megtudható, hogy az illető egy adott időpontban hol tartózkodott. E
A szólásszabadságot korlátozó országokban a hatóságok ezzel a módszerrel könnyen kideríthetik, hogy ki vett részt például egy nem engedélyezett tüntetésen.
