Espiar las comunicaciones móviles por 300 dólares

miércoles, 17 de julio de 2013


Tom Ritter y Doug DePerry de iSEC Partners, demostrarán en la Def Con de Las Vegas cómo interceptar el tráfico (voz, datos, mensajes...) de cualquier teléfono móvil Verizon que se encuentre a unos metros de una femtocelda manipulada por ellos. El ataque solo necesita una inversión de 300 dólares en equipamiento. ¿Es realmente insegura la comunicación móvil?

Una periodista entra en una habitación de hotel para hablar con Ritter y DePerry. Sin preparación previa, Ritter le muestra el número de móvil de la chica en la pantalla del portátil. Ella confirma que es el suyo. La periodista realiza una llamada de forma totalmente normal y, minutos después, Ritter le reproduce la grabación de la conversación en el mismo portátil. No importa el modelo de teléfono. ¿Cómo es posible? En realidad, esto ya se ha investigado con anterioridad, pero parece que han perfeccionado el ataque que sea más barato, más sencillo y sobre un operador conocido.

Conceptos previos
Fuente: http://www.pcmag.com/article2/0,2817,2421782,00.asp

Una femtocelda es como un router que te alquila tu compañía telefónica móvil para zonas sin demasiada cobertura. Ofrece cobertura a unos 25 metros a la redonda  y recoge la señal de los teléfonos alrededor. La femtocelda se conecta a internet a través de una línea ADSL (de la propia compañía) y ofrece cobertura móvil en zonas rurales o con difícil acceso, llevando las llamadas a través de Internet. Es un servicio que ofrecen Movistar, Vodafone, Orange...

En resumen, se trata de una pequeña antena telefónica como las que podemos observar en cualquier torre y que ofrece cobertura, solo que personalizada, más pequeña y que va a través de la red. Por ejemplo, nos permite elegir a qué números dar cobertura y a cuáles no, como si pudiésemos dar de alta la MAC de nuestro ordenador en el router Wi-Fi.

Ataques previos

Se conocen muchos ataques contra la telefonía móvil (la compañía española Taddong es experta en el asunto y han ofrecido numerosas demostraciones prácticas). Fundamentalmente usamos hoy en día dos tecnologías:

  • 2G: Que es la combinación de GSM para voz (en Europa, porque en Estados Unidos se puede usar CDMA) y GPRS para datos. Estos estándares pueden ir cifrados o no, pero si lo están, ya se conocen formas de romperlo en un tiempo razonable. Si podemos hacer la analogía con Wi-Fi, su estado sería más o menos el de WEP. Además tiene un problema adicional: en el mundo 2G, el teléfono se autentica contra la torre pero no al revés. Por tanto se pueden "falsificar".
  • 3G: Es el protocolo UMTS. Los datos van también cifrados, pero todavía no se conocen ataques prácticos que permitan romperlo. La estación base (torre) sí se autentica contra el teléfono. Siguiendo con la analogía, se trataría de WPA con Radius.
Actualmente, 2G es un desastre porque permite a un atacante suplantar la estación base (la torre) y que el teléfono se conecte a ella sin dudarlo. A todo esto ayuda bastante que los teléfonos "degraden" la conexión a 2G cuando lo necesitan y que uno de los modelos más usados (el iPhone) no permita evitar este comportamiento.

Además, un atacante podría montar una estación base por relativamente poco dinero (actualmente, unos pocos miles de euros). El teléfono puede, para ahorrar batería o porque la señal es más fuerte, conectarse a esa estación base falsa que emite en 2G y ofrecer todos sus datos. Importante destacar que no podría recibir llamadas a menos que el atacante enrute el tráfico a la red móvil real, algo más complejo. Hoy en día pues, si utilizamos 3G para comunicarnos, los datos pueden mantenerse relativamente seguros por ser un cifrado fuerte y por la autenticación.

¿Cómo lo han hecho y qué diferencia a este ataque de otros?

En este ataque en concreto, parece que han montado una estación base (torre) con una femtocelda manipulada (lo que abarata costes) asociada a un operador conocido. El teléfono de la víctima se conecta a ella y parece que "degrada" a 2G (dicen ser los primeros que han usado CDMA en vez de GSM), para que los atacantes puedan descifrar el tráfico.

Cualquiera podría comprar una femtocelda en eBay y manipularla, pero no le sería útil. Para que funcione, la compañía telefónica tiene que darla de alta y permitir que se comunique con la red móvil a través del ADSL. Así que en la práctica, comprar una femtocelda y que alguien se conecte a ella no le lleva al "mundo real" de las comunicaciones, o sea, no podría llamar. Sin embargo, manipular una femtocelda de una reconocida y popular marca en Estados Unidos y que las víctimas puedan realmente realizar llamadas y transmitir datos, sí parece bastante relevante.

Lo han conseguido pues aprovechando un fallo de seguridad de estas femtoceldas de este operador. No han dado más detalles. Según Verizon ya lo han arreglado, emitiendo un parche para el Linux que llevan dentro todas las femtoceldas. Según Ritter y DePerry, el parche no soluciona del todo el problema.

Será necesario esperar a su presentación en Las Vegas llamada "I Can Hear You Now: Traffic Interception and Remote Mobile Phone Cloning with a Compromised CDMA Femtocell". Mientras, aquí se puede encontrar un vídeo de demostración.

No hay comentarios:

Publicar un comentario en la entrada