Nieuws
image

Vodafone afluisterhack al twee jaar bekend

zaterdag 16 juli 2011, 12:22 door Redactie, 3 reacties

Het beveiligingsprobleem waardoor alle Britse Vodafone-klanten waren af te luisteren, is al twee jaar bekend, aldus een anoniem Nederlands lid van het hackerscollectief THC tegenover Security.nl. Deze week werd bekend dat kwaadwillenden op vrij eenvoudige wijze Vodafone's Sure Signal / Femto apparatuur tot afluisterapparaat kunnen ombouwen. The Hacker's Choice (THC) wist de apparatuur te reverse engineeren, waardoor het mogelijk is om met de Femto Cell gesprekken af te luisteren.

De Femto is namelijk via de internetverbinding van de thuisgebruiker verbonden met het Vodafone netwerk. Deze toegang wordt gebruikt om de geheime sleutel van de Vodafone-klant te achterhalen die de Femto gebruikt. Het tweede probleem dat de hackers ontdekten, was dat Vodafone de Femto toegang tot het kernnetwerk geeft, waar vertrouwelijke klantgegevens zijn opgeslagen.

Een aanvaller met administratortoegang kan de geheime sleutel van alle Britse Vodafone-abonnees opvragen. Daarmee is het mogelijk om telefoongesprekken af te luisteren of op kosten van het slachtoffer anderen te bellen.

Waarschuwing
Het hackerscollectief ontdekte het probleem twee jaar geleden en waarschuwde Vodafone eind 2009. Daarmee kreeg Vodafone ruimschoots de tijd om de gegeven problemen op te lossen, aldus het THC-lid. Gedeeltelijk werden de problemen ook opgelost. "THC meent dat ruim anderhalf jaar wachten ruim binnen de normen voor 'responsible disclosure' valt."

Volgens de hacker bestaat er in Nederland weinig risico op misbruik, daar alleen Vodafone UK abonnees risico lopen. "In Engeland kan een gebruiker die binnen vijftig meter van de gehackte Femto telefoneert, worden afgeluisterd. Met de afgeluisterde gegevens zijn ook andere aanvallen uit te voeren. THC heeft alleen gesprekken afgeluisterd van zichzelf, dus er is geen misbruik gepleegd voor zover wij weten."

Wachtwoord
Vodafone gebruikte als root-wachtwoord "newsys", dat in de nieuwe firmware is aangepast. "Dat had natuurlijk direct gekund. Ook is in de nieuwe firmware de UART seriële poort uitgezet. Dus de toegang tot de Femto had met simpele maatregelen moeilijker kunnen worden gemaakt. Maar er zijn sindsdien door andere groepen andere manieren gevonden om ook in de Femto te komen dus deze pleister op de wonden is niet heel effectief", zo laat het THC-lid weten.

Volgens hem is het onderliggende probleem, namelijk dat ook niet-geregistreerde toestellen via de Femto kunnen bellen, nog niet opgelost door Vodafone. "Iemand met een oude fimrwareversie, die de update weet tegen te houden, of die het versienummer naar Vodafone kan spoofen, kan hier nog steeds misbruik van maken."

Nederland
Soortgelijke systemen als Vodafone in Engeland gebruikt, zijn niet op de Nederlandse consumentenmarkt te vinden, maar worden wel door zakelijke klanten in Nederland gebruikt. Die hardware heeft THC niet onderzocht.

In een reactie liet Vodafone weten dat eindgebruikers van de Femto geen risico lopen. Iets wat klopt volgens het THC-lid, maar wat ook niet het punt was. Inmiddels heeft het hackerscollectief op het eigen blog hierop gereageerd.

Afluisteren
De hack doet het ergste over de beveiliging van onze mobiele infrastructuur vermoeden. Toch zijn er geen simpele hacks bekend die de beveiliging doorbreken, zo laat het THC-lid weten. "Maar voor een technisch onderlegd persoon is het afluisteren van 2G (oftewel GSM) gesprekken tegenwoordig goed te doen. Zie het werk van Karsten Nohl. 3G is een heel stuk lastiger door het gebruik van betere encryptie. De Femto hack is de eerste publieke 3G-hack."

Wat betreft de toekomst zullen onderzoekers tijdens de komende DEFCon en Blackhat conferenties meer zwakheden in Femto's onthullen.

Reacties (3)
16-07-2011, 12:55 door Anoniem
"Zie het werk van Karsten Nohl." -> link?
16-07-2011, 13:55 door Anoniem
Hoogste tijd voor een betere beveiliging dus. Dect,Bluetooth,Wifi (zowel wep,wpa als wpa2 ) zijn ondertussen qua veiligheid (of moet je zeggen onveiligheid?) al achterhaald en outdated.Geldt ook voor telefoneren,sms-en en internetten via gsm,wap,gprs en umts.ER MOETEN SNEL NIEUWE PROTOCOLLEN EN TECHNIEKEN KOMEN OM DE PRIVACY VD BURGERS TE BESCHERMEN.Mensen worden gek gemaakt,koop dit en koop dat apparaat ja want is leuk en lekker makkelijk,kun je kontakt hebben met de hele wereld! Maar ze vertellen er niet bij hoe onveilig het allemaal is! Als ik had geweten wat ik nu weet (en ik weet vast nog niet alles wat er mogelijk is,ik ben geen hacker/cracker) had ik nooit een pc gekocht,en ook geen smartphone,en waarschijnlijk zelfs helemaal geen gsm en ook geen dect-telefoon! En met de simpele trucs&tips die je als burger nu vd overheid,telecombedrijven,internetproviders,pc fabrikanten en securitysoftwareleveranciers krijgt redt je het niet.Iedereen heeft wel een pincode op zn gsm,iedereen heeft wel een pasword op zn pc en internet en social network accounts.Om maar een paar simpele dingen te noemen.En vrijwel iedereen heeft wel antivirussoftware en firewall op zn pc en smartphone. En toch slagen hackers en crackers erin om je gegevens te ontfutselen,zoals TAN-codes,etc.Menigeen weet niets van false drivers,en legitieme hard en software die door(cyber) criminelen kan worden gemanipuleerd.Daaraan moet meer voorlichting besteedt en ook sites als security.nl kunnen en moeten daaraan bijdragen.
19-07-2011, 11:07 door xy22
Door Anoniem: "Zie het werk van Karsten Nohl." -> link?
heb er een hekel aan om t te zeggen, maar:

- als je geïnteresseerd bent in dit onderwerp, dan is dit een soort van basiskennis. Verder onderdeel van een uitspraak die het THC lid deed tijdens een interview, geen bronvermelding nodig, dus waarom zou een linkje dan nodig zijn?

- voor degenen die zich dan afvragen wie Nohl is, of wat voor onderzoek hij heeft gedaan op dit gebied: http://lmgtfy.com/.
Security.nl geeft zelf aan (zie http://security.nl/page/1/Over_ons.html dat de doelgroep
"IT-managers, systeembeheerders, beveiligingsprofessionals en iedereen met interesse in het laatste nieuws over beveiliging en privacy." is.
Dat betekent ook dat verondersteld wordt dat je enige moeite doet voordat je dit soort vragen neerzet. Voer alleen 'Karsten Nohl' of 'Karsten Nohl gsm' in bij Google, en dan zie je de nodige nieuwsartikelen die precies dat vertellen, wat jij nu vraagt.

Klinkt misschien verzuurd :), maargoed, ik moest het even kwijt, en wens je overigens graag nog een fijne dag!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search