(Foto: Faksimile)

Signalling System No. 7

Trengte bare mobilnummeret for å avlytte kongressmedlem

– Alt kan hackes. Det gjelder bare om å finne ut hvordan.

For de fleste av digi.nos lesere bør det ikke være ukjent, men mange dem som ser på nyhetsprogrammet 60 Minutes fikk seg trolig en vekker i forrige uke, da de ble vist hvordan sikkerhetseksperter demonstrerte hvordan de på ulike måter kunne overvåke brukere av vanlige mobil- og smarttelefoner.

I den ene demonstrasjonen viste den tyske sikkerhetseksperten Karsten Nohl, som spesielt kjent for sin hacking av GSM-teknologi, at han kunne avlytte mobilsamtalene til amerikanske kongressmedlemmet Ted Lieu, bare ved å kjenne mobilnummeret.

Mobilen Lieu brukte, var en iPhone. Men det samme kunne også ha blitt gjort med hvilken som helst annen mobiltelefon. For sårbarheten som Nohl og hans kolleger i Security Research Lab utnyttet, finnes i SS7 (Signalling System No. 7), det aldrende systemet som digi.no har omtalt blant annet i en rekke saker, etter at Telenors mobilnett var utslått i flere timer i midten av februar.

Kan vi stole på teknologien?

I tillegg til å avlytte samtalene, kunne Nohl også spore bevegelsene til kongressmedlemmet ved hjelp av samme løsning.

– Jeg tror ikke gjennomsnittspersonen vil være utsatt for den typen angrep som ble vist her i dag. Målet vårt var å vise hva som er mulig, slik at folk virkelig kan forstå hva som vil være situasjonen i verden dersom vi ikke gjør noe med sikkerhetsproblemene. Det betyr at vi ikke kan stole på teknologien vi bruker, sier Nohl.

I reportasjen mer enn antydes det at etterretningstjenester skal være godt kjent med disse sårbarhetene og kanskje jobber for at de ikke skal bli fjernet.

Kongressmedlemmet Lieu mener derimot man ikke kan ha det slik at det globale brukerfellesskapet skal være utsatt for risiko for å bli avlyttet, bare fordi noen etterretningstjenester skal kunne få tilgang til noen data.

UROVEKKENDE: Tyske forskere har funnet sårbarheter som kan la hackere, spioner og kriminelle lytte til private mobilsamtaler og avskjære tekstmeldinger i en massiv skala, uavhengig av hvilken kryptering mobilnettene er herdet med. Her ser vi eksperten Karsten Nohl under Watchcom sin Paranoia-konferanse i Oslo tidligere i år.
Karsten Nohl har holdt foredrag i Norge flere ganger. Her under en tidligere Paranoia-konferanse. Bilde: Marius Jørgenrud
Men gitt den pågående debatten blant amerikanske politikere om blant annet kryptering av brukerdata, spørs det om hans syn støttes av så mange av politikerne i Washington D.C. Dette til tross for at Nohl og andre mener at det er politikere, i tillegg til bedriftsledere, som trolig er i størst fare for å bli avlyttet på denne måten.

Overtok mobilkameraet

I reportasjen demonstrerer også en gruppe hackere, blant annet John Hering – grunnleggeren av mobilsikkerhetsselskapet Lookout, hvordan de kan få kontroll over kameraet på Android-mobilen til reporteren. Men bortsett fra at reporteren mottar en tekstmelding med en lenke til noe skadevare, sies det lite om hvordan det hele gjøres.

I utgangspunktet vil ikke skadevaren kunne installeres på Android-mobiler uten at brukeren selv har åpnet for installasjon av apper fra «ukjente kilder». Men dette omtales ikke i reportasjen.

På spørsmål om alt kan hackes, svarer Hering at det kun handler om å finne ut hvordan dette kan gjøres. Han hevder også at vi alle allerede har blitt utsatt for hacking.

– Det finnes to typer bedrifter og mennesker – de som har blitt hacket og innser dette, og de som har blitt hacket og ikke vet om det, sier Hering.

Hele reportasjen er tilgjengelig her.

Til toppen