Het moet niet gekker worden: met alleen het nummer van je toestel kan een e-kraker inbreken in jouw toestel. De Duitse beveiligingsdeskundige Karsten Nohl liet dat zien bij een spikspinternieuw toestel van de Amerikaanse parlementariër Ted Lieu. Zwakke stee is het systeem dat de netwerken van de telefoonbedrijven koppelt en coördineert SS7 (signaling system 7).
Nohl liet al in 2014 zien dat dat mogelijk was, maar meer dan een jaar later blijkt dat lek nog steeds niet te zijn gedicht. SS7 fungeert als intermediair tussen de diverse mobiele netwerken. Het zorgt voor doorsturen smsjes, nummervertaling, verrekening en andere zaken. Door in SS7 in te breken kan een kraker achter de locatie van een mobiel (en waarschijnlijk ook eigenaar) komen, de ontvangen en gestuurde berichten lezen en gesprekken meeluisteren met als enige ‘sleutel’ het telefoonnummer.
Nohl is bezig met onderzoek naar kwetsbaarheden in het systeem voor verschillende internationale netwerken. Hij toonde het lek voor de Amerikaanse zender CBS. Vanuit Berlijn spoorde hij het toestel van Lieu in Californië op aan de hand van diens telefoonnummer. Hij kon Lieu volgen in Los Angeles, las zijn berichten en nam gesprekken op die de Amerikaanse parlementariër met zijn stafleden had.
Het vervelende van dit lek is dat de gebruikers daar weinig aan kunnen doen en dat ook alle mobiele telefoons, ongeacht het gebruikte besturingssysteem, ‘slachtoffer’ zijn. Nohl: “Het mobiele netwerk is onafhankelijk van de kleine gps-chip in je mobiel. Het weet waar je bent. Dus alles wat die parlementariër had kunnen doen, zoals het veranderen van de pincode, of het deïnstalleren van sommige toepassingen, zou geen effect hebben gehad omdat het om het netwerk gaat.”
Krakers kunnen er in en ongetwijfeld zullen inlichtingendiensten en andere boeven al ruimschoots gebruik hebben gemaakt van dit lek. Volgens Nohl zou het lek bewust nooit gedicht zijn. “Inlichtingendiensten willen niet dat dit gat gedicht wordt.” De gebruiker kan daar verder niets tegen doen, anders dan niet meer bellen of alleen binnen het netwerk van de aanbieder. Het altijd verbonden zijn wordt steeds leuker (voor de spionnen van FBI en AIVD).
Bron: the Guardian