SIM Application Toolkit basierter Angriff auf mobile Endgeräte durch Hardwaremanipulation an der SIM-Karte 12.5.2009 Benedikt Heinz Fraunhofer SIT benedikt.heinz@sit.fraunhofer.de
Einführung BSI-Studie zur Sicherheit mobiler Endgeräte II Lehrstuhl für Betriebssysteme und Systemarchitekturen Inhalt: Entwicklung von Angriffsdemonstratoren Ansatz: Identifizierung möglicher Angriffsvektoren SIM Schnittstelle als Angriffsvektor auf mobile Endgeräte Standartisierte Schnittstelle möglichst universeller Angriff Realisierung: Hardware-basierter Man-in-the-middle Angriff 12.05.09 Benedikt Heinz 2
Aufgaben und Funktionsweise der SIM-Karte Ausgabe durch den Netzbetreiber Aufgaben Kryptografische Authentisierung des Mobilfunknutzers Geschützter Datenspeicher (Telefonbuch, SMS) Endgeräteunabhängig Funktionsweise Standartisierte Schnittstelle - Smartcard Unverschlüsselte, serielle Datenübertragung zum mobilen Endgerät 12.05.09 Benedikt Heinz 3
Der SIM Application Toolkit Wunsch der Netzbetreiber nach Zusatzdiensten (Homezone, betreiberspezifische Menüs, etc.) Endgeräte: viele verschiedene Hard-/Software-Plattformen Anpassung stellt enormen Aufwand dar SIM-Karte wird vom Netzbetreiber ausgegeben einheitliche Hard-/Software SIM Application Toolkit Zusatzdienste werden auf der SIM-Karte realisiert Kommunikation mit der Außenwelt über das Endgerät 12.05.09 Benedikt Heinz 4
Funktionen des SIM Application Toolkit Positionsbestimmung Versand und Empfang von Kurznachrichten Initiieren ausgehender Anrufe Umleiten ausgehender Anrufe etc. 12.05.09 Benedikt Heinz 5
Funktionsweise des Angriffs SIM-Karte kann die beschriebenen SAT-Funktionen nutzen Keine Kryptografie zwischen SIM und Endgerät Einschleusen eigener SAT-Kommandos möglich SIM wird weiterhin zur Authentisierung benötigt Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers 12.05.09 Benedikt Heinz 6
Einbau des Mikrocontrollers (schematisch) 12.05.09 Benedikt Heinz 7
Realisierung des Angriffs Hardware Atmel AVR Mikrocontroller ATTiny85V (4 x 4 x 0,8 mm) 8 kbyte Flash, 512 Byte RAM Keine weiteren Komponenten nötig Kosten: weniger als 3 Einbau mit Kupferlackdraht und Klebefilm oder flexible Leiterplatte Software Serielle Datenübertragung zeitkritisch Implementierung in Assembler (ca. 2 kbyte) 12.05.09 Benedikt Heinz 8
Maskierung der SIM/ME-Kontakte Maske 2 Maske 1 SIM 12.05.09 Benedikt Heinz 9
Einbau des Mikrocontrollers (Foto) 12.05.09 Benedikt Heinz 10
Angriffsszenario: Anrufumleitung 12.05.09 Benedikt Heinz 11
Ergebnisse Motorola RAZR V3i Alle Szenarien erfolgreich getestet SMS Senden/Empfang: Benutzer wird nicht informiert Ausgehender Anruf: Benutzer wird informiert, keine Bestätigung erforderlich Anrufumleitung: Benutzer wird nicht informiert Motorola A780 SMS Senden/Empfang: Benutzer wird nicht informiert Ausgehender Anruf: Bestätigung durch Benutzer erforderlich Anrufumleitung: Benutzer wird informiert 12.05.09 Benedikt Heinz 12
Ausblick: SAT-Firewall Netzbetreiber kann SAT-Kommandos over-the-air via SAT- SMS initiieren Üblicherweise kryptografisch gesichert (nicht näher untersucht) Möglicherweise nicht immer vom Nutzer gewollt (Hochsicherheit) Nutzung der Angriffstechnik als SAT- Firewall SAT-Kommandos werden vom Mikrocontroller verworfen 12.05.09 Benedikt Heinz 13
Fazit Endgerät lässt sich durch Mikrocontroller via SAT steuern Missbrauch des SIM Application Toolkit ist möglich und für einen Angreifer sehr attraktiv Zugriff auf das Endgerät erforderlich, aber innerhalb einer Minute durchführbar Vorgestellte Angriffshardware ist frei zugänglich Enormes Gefährdungspotential durch ein derartig manipuliertes Gerät Missbrauchspotential des SAT war so bisher nicht bekannt Vorgestellte Technik lässt sich auch verwenden, um SAT zu blockieren 12.05.09 Benedikt Heinz 14
Vielen Dank für Ihre Aufmerksamkeit! 12.05.09 Benedikt Heinz 15