SS7 bypass
Az SS7 protokoll TCAP rétegének ASN.1 BER kódolása tartalmaz egy eddig ritkán használt speciális tag extension összetevőt, amit az Enea kutatói egy új bypass támadásban fedeztek fel. Ez a technika lehetővé teszi, hogy az IMSI mező rejtve maradjon a hálózati tűzfalak előtt: az üzenetek továbbításra kerülnek anélkül, hogy a biztonsági rendszerek észlelnék vagy blokkolni tudnák őket.
Az SS7 támadások korábban is léteztek, például global opcode, extended application context vagy long TCAP ID bypass-technikákat 2017 óta dokumentáltak – de az új módszer az IMSI tag kódolásának manipulálására fókuszál, ami közvetlenül a TCAP komponens szerkezetében történik. Az Enea az elmúlt hónapokban valós támadásokat is észlelt, ahol a PSI (ProvideSubscriberInfo) parancsra érkező válaszok megtörténtek, annak ellenére, hogy az IMSI nem olvasható a csomagból.
A kódolás hátterében az ASN.1 BER protokoll rugalmassága áll: a szabvány lehetővé teszi, hogy a tag mező meghosszabbított formában szerepeljen. Az elkönyvelt bit-szerkezet arra utal, hogy a tag extension mező jelen van, de az alkalmazás nem olvassa tovább, így a biztonsági ellenőrzések kimaradnak. Ez a hiányos dekódolás lehetővé teszi, hogy a sikeres PSI kérés engedélyezésre kerüljön – és a kéréssel együtt a helyadat is visszaérkezzen.
Az üzenetek továbbítása során a támadók elbújtatják a célzott IMSI-t, és ugyanakkor ki tudják használni ezt jellemzően hely-megfigyelésre. Az Enea szerint a kockázat sok szolgáltatónál fennáll, mivel a TCAP dekódoló rétegek jelentős része nem kezeli ezt az eshetőséget – vagy azért, mert nem építették be, vagy mert automatikusan továbbenged mindent, ami formailag megfelel.
