27C3: Baseband Apokalypse for Fun and Profit

rj, den 29. Dezember 2010
27c3-128

2010 sind die Smartphones ein Lieblingsthema der Hacker geworden: ausschließlich den Basebands widmete sich noch ein Vortrag, der neben guten Aussichten für Unlocker – die Exploits werden kaum ausgehen – auch einige Gänsehaut verursacht. Schließlich werden mit dem Baseband-Code aus den 90ern neben den hochinteressanten Smartphones voller wichtiger Daten auch andere sicherheitskritische Techniken wie Module zum Assisted Driving angreifbar.

Alleine angesichts ihrer meist hochinteressanten Inhalte sind Smartphones ein hochspannendes (und durchaus auch lukratives) Ziel. Immer mächtiger wird die Technik, voll mit relevanten, persönlichen oder geschäftsrelevanten Daten sind die Speicher, hinzu kommen sicherheitsrelevante Zugangsdaten für Intranets und Onlinedienste. Bei den vergangenen Angriffsszenarien auf Smartphones wurde laut Baseband-Hacker Ralf-Philipp Weinmann insbesondere der konkrete Angriff besprochen – und weniger, was beim Erfolg anschließend droht.

Er konzentriert sich in seinem Vortrag zum einen auf den Angriffsvektor Baseband – der „Modem-Firmware“ der Handys – und zum anderen auf „wenig invasive“ Methoden, bei denen der Angegriffene (anders als beim Remote-Shutdown) nach Möglichkeit nichts von der erfolgten Attacke bemerkt.

Mit den mittlerweile zu vierstelligen Beträgen erhältlichen GSM-Empfängerstationen reicht es, ein leicht stärkeres Netz zu bieten als die vor Ort aktiven Funkzellen, um Smartphones in der Umgebung zum Einbuchen zu bewegen. Anschließend imitiert man den jeweiligen Provider, so gut es geht – und kann nebenbei auf die Basebands zugreifen. Diese sind auf zwei verschiedene Arten in Smartphones implementiert – es existieren die iPhone-typischen Architekturen des „Baseband as a Modem“, in denen die BBs eigenen Speicher verwalten, in Shared-RAM-Architekturen teilen sich Applikations- und Baseband-Prozessor dasselbe RAM, dabei ist typischerweise der BB-Prozessor Master, der App-Prozessor Slave.

Hergestellt werden die Smartphone-Basebands von einer überschaubaren Zahl an Firmen: Qualcomm und Infineon sind die Big Player. Für alle Hersteller gilt, dass die Technik und der zugehörige Code zu weiten Teilen aus den 90ern stammt, in denen andere Sicherheitsphilosophien galten: insbesondere wurde dem Netzwerk per se meist vertraut, abgesehen wurde in der Regel von Schutzmechanismen gegen gängige Exploits, die auch heute bei Implementierung gern zu Performancefressern mutieren (nichtsdestotrotz hat unter anderem Apple auf seinen Infineon-basierten BBs nachgebessert).

Weinmanns Zielsysteme sind unter anderem das iPhone Classic, 3GS und 4. Hier gilt besonders, dass die Fixe aller bekannten/öffentlichen Baseband-Bugs nur auf den aktuellsten Geräten/Firmwareversionen aufgespielt sind zum einen, dass weiter insbesondere die Unlocker besonders anfällig für zukünftige Attacken sein können, da sie praktisch immer „nichtaktuelle“ Basebandversionen verwenden.

Für seine Angriffe verwendet Weinmann OpenBTS, das er auf Hardware für ca. 1500 Dollar zum Betreiben der eigenen Funkzelle nutzt. Der Vorteil bei heutigemn, erschwinglichen Lösubngen: die Hardware ist im Unterschied zu manchen schweren, sperrigen Vorgängern und Alternativen mobil. Die gezeigte Ausrüstung kann im Rucksack mitgeführt werden – als Anwendungsszenario wurden Bahnhöfe, Flughäfen oder ein Marsch durchs Botschaftsviertel genannt. Die Übernahme eines exploiteten Basebands ermöglicht auch bei BB-as-a-Modem-Architekturen tiefgreifende Möglichkeiten im System – so können bis zu mehreren Stunden Audio-Aufnahmen mitgeschnitten werden, die auch komprimiert und – bei entsprechend leistungsfähigen BB-Versionen – verschlüsselt im Hintergrund an den Angreifer transferiert werden können. Manche Geräte erlauben auch den Zugriff auf die Kamera. Bei Shared Memory-Architekturen sind die Zugriffsmöglichkeiten durch ein gehacktes Baseband noch umfassender. Neben der reinen „Daten-Erbeutungsszenarien“ ist insbesondere die Nutzung des Smartphones als Wanze spannend bzw. beunruhigend.

Vollends in die Nähe der im Titel beschworenen „Apokalypse“ kommt man, wenn die Angriffsszenarien auf andere mobile Geräte angewendet werden, die sich aktuell noch größtenteils im Pilotstadium befinden, aber nochmals drastischere Wirkungen zeitigen – die Assisted-Driving-Technologie im KFZ-Bereich wurde hier beispielsweise genannt. Bei allem Spass an der Sache und den Potentialen für Unlocker: Weinmann ist der Ansicht, dass ein allgemein hohes Interesse am zügigen Fix entsprechender Lücken besteht.

Seine Demonstrationen werden zumindest bei Infineon und Qualcomm ernstgenommen: Beide Unternehmen haben seit einiger Zeit eigenen Security-Audits für die von ihnen vertriebenen Baseband-Technologien gestartet. Auch Apple attestiert Weinmann ein schnelles Einpflegen von Bugfixen in neu erscheinende Basebandversionen für ihre iPhones.

Eine der Schlussbemerkungen: nachdem bisher in der Regel GSM für die grundlegenden Attacken auf mobile Plattformen genutzt wurden – laut Weinmann werde die Situation mit UMTS tendenziell verschlimmert, da die Angriffsplattformen günstiger, die Spezifikationen komplexer werden. Trivial sind die Anwendungsfälle nicht, auch die Angriffe selbst fallen noch „vergleichsweise aufwändig“ aus – aber auch Hardware im vierstelligen Dollarbereich lässt sich bei entsprechender krimineller Energie und dem notwendigen Know-How durchaus refinanzieren, wenn man die Ziele gut auswählt.


Ähnliche Nachrichten

Zugehörige Events