GSM Зеродей в GSM 4G / LTE

[gliderexpert]

Если есть какие-то конкретные вопросы, спрашивайте - постараюсь ответить.
Вообще в переделки моторолы нет ничего сложного, ее принципиальная схема есть на сайте "осмоком".
Hint - в схемах гуляющих в нете по перепайке фильтров - ошибка. Там с диф.линии приемника нужно убирать дроссели и менять их на конденсаторы, иначе обмотка симметрирующего трансформатора закорачивает диф пару по постоянному току и это сводит с ума приемник.

Базовая станция из нее получается с отвратительными ТТХ. Повторюсь - но я использую моторолы исключительно в виде эмулятора мобильного телефона (в который подставляется нужная Kc) и для сниффинга траффика телефонов, анализа SIB пакетов бтс оператора.

Для практического применения псевдо-BTS на моторолах непригодна. Только как лабораторный макет, для освоения стека GSM.

 

[swap3r]

gliderexpert, а модуль mobile для прописывания Кс в открытом доступе где-то есть?

 

[gliderexpert]

есть https://github.com/axilirator/plmn-research/tree/master/projects/pagfun

 

[swap3r]

Благодарствую

 

[fender32]

gliderexpert, а есть ли готовые тулзы/скрипты для кряка А5/2 и прям криптостойких А5/3(просто некоторые провайдеры использиют его в 2G сетях), и как намеренно заставить устройство переключить шифрование на А5/2 из твоего метода по быстрому кряку kc?

 

[gliderexpert]

gliderexpert, а есть ли готовые тулзы/скрипты для кряка А5/2 и

https://www.npag.fr/doc/projects/a52hacktool/doxygen/index.html

конечно требует некоторого допиливания

прям криптостойких А5/3(просто некоторые провайдеры использиют его в 2G сетях),

Зачем ломать а5.3 если ключ сессии у него тот же самый что и в а5.2 ?

и как намеренно заставить устройство переключить шифрование на А5/2 из твоего метода по быстрому кряку kc?

,
МИТМ мобилы, установка ciphering mode a5.2 и трансляция на нее RAND запроса оператора. Мобила пришлет SRES, после чего этот ответ транслируется обратно оператору, канал с мобилой ломается a52hacktool, и полученный kc передается в эмулятор телефона который поддерживает связь с оператором.

 

[fender32]

https://www.npag.fr/doc/projects/a52hacktool/doxygen/index.html

конечно требует некоторого допиливания




Зачем ломать а5.3 если ключ сессии у него тот же самый что и в а5.2 ?


,
МИТМ мобилы, установка ciphering mode a5.2 и трансляция на нее RAND запроса оператора. Мобила пришлет SRES, после чего этот ответ транслируется обратно оператору, канал с мобилой ломается a52hacktool, и полученный kc передается в эмулятор телефона который поддерживает связь с оператором.

Огромное спасибо за столь чудесную информацию, в свое время буду тестить и радоваться жизни! Про этот скрипт от французов я знал, просто не знал, как его "допилить", и документацию не совсем понял... но все равно, спасибо)

 

[fender32]

просто не знал, как его "допилить"

Если быть точнее, без понятия как. Но наглеть-просить допиленный вариант не хочу)

 

[bimbombam]

Тема что описал ТС весьма интересная, но в ней есть подводные камни в плане реселекта, не все так просто и легко происходит, начиная от количества бандов в данном месте и их приоритетов заканчивая особенностями конкретных моделей телефонов.

 

[gliderexpert]

Тема что описал ТС весьма интересная, но в ней есть подводные камни в плане реселекта, не все так просто и легко происходит, начиная от количества бандов в данном месте и их приоритетов заканчивая особенностями конкретных моделей телефонов.

конечно - более того внутри одного бэнда может быть несколько рабочих частот (physical earfcn) и тоже с разными приоритетами

 

[gliderexpert]

Где-то, в далекой галактике - был снят видеоролик как это работает.

Изначально телефон висит на 4g lte сети, редиректором скидываем на 2g, цепляем на фейковую БС и отправляем смс с произвольного номера (как демонстрация успешного аттача на фейк 2g сеть).
На самсунгах довольно медленно. Около 30 секунд - 1 минуты. Особенности софта его baseband процессора. Под gnusmas кстати методика редиректа немного особенная.
Другие телефоны - редиректятся почти мгновенно, секунд 5 может...

видео:

VID_20220223_014302

Посетите эту ссылку, чтобы посмотреть видео:

ru.files.fm

картинка для привлечения внимания:

Все названия вымышлены, совпадения случайны, видео скачано из этих ваших интернетов )

 

[Darkxss]

worthy share.. keep it up..

 

[Samorez]

Вышку можно выбирать самому вместо автоматического варианта в настройках сети.

Избежать данного даунгрейда можно через запрет 2G сети. Используя комбинацию *#*#4636#*#* > информация о телефоне > настроить предпочтительный тип сети.
Выставляем там в приоритет настройки интернет подключения: LTE/WCDMA

На MTK процессорах комбинация *#*#3646633#*#*, в появившемся окне выбираем Network Selecting, потом нужную сим-карту и нужный тип сети.

На андроид 12 версии проблема решается в настройках, отключить надо пункт 2G:

 

[gliderexpert]

Все правильно - но и на таких хитрецов с режимами "LTE only" у меня найдется инструмент с левой резьбой )
Оператору не запретишь регистрировать клон телефона в 2g режиме используя imsi-rand-sres, дальше думайте сами.
Считаю что эту тему выкладывать в открытый доступ пока рановато.

 

[Zaylutok]

Всем привет!
Нашел новую уязвимость в системе связи LTE (4G), которая позволяет заставить мобильный телефон использовать менее защищенный протокол связи - 2G , а так же выполнить переход на произвольный, заданный пользователем - канал соты.

Данная уязвимость в интернете нигде не описана, так что претендую на авторство небольшого зеродея ))

Стандартные методики даунгрейда сети с LTE до 2G - использование глушилки, либо RRC Connection Release с нужным номером канала в redirection info.

Я нашел третий вариант.
Базовая станция eNodeB настраивается на частоту несущей оператора, на которой сейчас находится телефон-цель.
Tracking Area Code и Physical Cell ID должны отличаться от настоящего, но MCC и MNC - такие же как у оператора.
Уровень сигнала должен превышать уровень сигнала от БС на 5...10dB. Это легко достигается использованием
усилителя и хорошей антенны.
Фейковая eNodeB должна непрерывно передавать пакет SIB1 с включенным флагом Addition System Info, SIB2,
а так же пакет SIB7 с флагами reselect geran = 1, cell reselection priority = 7, start_arfcn = номер канала 2g
на который хотим скинуть телефон.

Как только уровень сигнала нашей enodeb станет больше чем intrа-frequency hysteresis, телефон выполняет реселект
на нее и прослушивает пакеты sib чтобы начать процедуру tac update и attach .
Смысл моей методики в том, что в механизме реселекта базовых станций есть параметр "абсолютный приоритет",
который является первоначальным критерием выбора соты. Передавая сообщение SIB7 - мы присваиваем нашему 2G
каналу максимальный приоритет ( 7 ). А т.к. телефон уже начал процедуру tracking area update, он принял инфу
из sib1/sib7 и увидел что доступен канал с лучшим absolute priority.
Это заставляет мобильный телефон переключиться на прописанный в SIB7 канал диапазона 2G - например,
фейковую базовую станцию.

Атаке подвержены все телефоны, находящиеся в одном eARFCN с атакующей eNodeB , все они сразу же выполняют реселект на 2g канал,
как только уровень сигнала с фейктовой enodeb станет больше чем уровень сигнала провайдера + intrаfreq resel hyst .

Преимущество данного метода по сравнению с известным RRC Release в том, что для манипуляции с SIB7 пакетом
достаточно использовать только передатчик (слышать ответ от телефона не нужно, соответственно не нужна сложная конструкция передатчика с антенным фильтром-дуплексером и т.д.) и этот метод работает в любом режиме телефона, не только в Idle.

С Новым Годом, пользуйтесь!

Не против если я репостну в свой канал?

 

[gliderexpert]

со ссылкой на источник

 

[Samorez]

Все правильно - но и на таких хитрецов с режимами "LTE only" у меня найдется инструмент с левой резьбой )
Оператору не запретишь регистрировать клон телефона в 2g режиме используя imsi-rand-sres, дальше думайте сами.
Считаю что эту тему выкладывать в открытый доступ пока рановато.

Не сомневаюсь, что можно перевести. Только смысла мало в атаке. Сам не пользуюсь симкартами в принципе, а когда пользуюсь то используются дополнительные инструменты защиты в сети. Обычной связью не пользуюсь, от слежки защищаюсь режимом полёта, кому это мало может экранировать в чехле антислежки =)

P.S: в любом случае ты не сможешь запустить атаку на пользователя, без участия пользователя, например установить приложение. Подключить на платные услуги только. Много у знакомых видел платных подписок подключенных, в той местности тестировал сеть, она постоянно скачет на 2g если не защищаться методом запрета.

 

[HackLiLBITCH]

На iphone тоже получится ?)

 

[gliderexpert]

Если пользователь не включил функцию "4g only", то получится!

 

[fender32]

есть https://github.com/axilirator/plmn-research/tree/master/projects/pagfun

Репозиторий удалили, можете скинуть сюда?