image

Lek in LTE-netwerken kan Androidgebruiker op kosten jagen

zondag 18 oktober 2015, 13:48 door Redactie, 4 reacties

Onderzoekers hebben in Long Term Evolution (LTE) mobiele netwerken kwetsbaarheden ontdekt waardoor gebruikers met privacyverlies, onterechte facturen en gespoofte telefoonnummers te maken kunnen krijgen. Dat meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

LTE is de 4e generatie mobiel internet en de opvolger van UMTS. Huidige LTE-netwerken maken in tegenstelling tot voorgaande mobiele netwerken gebruik van 'packet switching' in plaats 'circuit switching'. Het gebruik van packet switching en het IP-protocol, en dan met name het SIP-protocol, maakt nieuwe aanvallen mogelijk die bij oudere netwerken niet speelden. Dit soort aanvallen zijn volgens het CERT/CC algemeen bekend.

Permissiemodel

Onderzoekers hebben nu in huidige LTE-netwerken verschillende kwetsbaarheden ontdekt (pdf). Een van deze lekken blijkt alleen bij Android te spelen en wordt veroorzaakt doordat het besturingssysteem geen geschikt permissiemodel voor LTE-netwerken heeft. Zo kan de CALL_PHONE-permissie worden overschreven door de INTERNET-permissie door alleen SIP/IP-pakketten te versturen. Een kwaadaardige app kan op deze manier een gesprek opzetten dat niet direct zichtbaar voor de gebruiker is, maar uiteindelijk wel op de factuur kan verschijnen. Het probleem zou volgens Apple niet bij iOS spelen.

Verder blijkt dat sommige LTE-netwerken geen goede toegangscontrole hanteren. Daardoor kunnen twee telefoons direct een sessie opzetten zonder dat dit door een SIP-server wordt gemonitord. In dit geval zou de communicatie zonder toezicht van de provider plaatsvinden. Op deze manier is het mogelijk om telefoonnummers te spoofen of gratis videogesprekken te voeren. Naast toegangscontrole blijkt ook de authenticatie tekort te schieten, waardoor het spoofen van telefoonnummers ook mogelijk is. Volgens het CERT/CC is er nog geen oplossing voor de problemen.

Reacties (4)
18-10-2015, 23:19 door Anoniem
Lol, kan je dus 112 spoofen en mensen bellen

Pijnlijk foutje!
19-10-2015, 09:28 door Mozes.Kriebel
Bellen over LTE? Volgens mij bel ik met m'n 4G device nog steeds over GSM. Tenzij je een VoIP client gebruikt, maar dat is een ander scenario. Als ik het artikel goed lees, gaat het over een implementatie van VoLTE; in Azie al in gebruik, maar in Europa (nog) niet... Maar misschien heb ik het mis.
19-10-2015, 12:57 door Anoniem
Door Mozes.Kriebel: Bellen over LTE? Volgens mij bel ik met m'n 4G device nog steeds over GSM. Tenzij je een VoIP client gebruikt, maar dat is een ander scenario. Als ik het artikel goed lees, gaat het over een implementatie van VoLTE; in Azie al in gebruik, maar in Europa (nog) niet... Maar misschien heb ik het mis.

Dit gaat wel gebeuren. T-Mobile heeft toegezegd in 2016 te starten met VoLTE
21-10-2015, 11:58 door Anoniem
Gelukkig is er in de praktijk geen enkele situatie te verzinnen waarbij ik mij hier druk om moet maken.
Als je vijanden hebt heb je al grotere problemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.